Cookie Plus таңбалауышын қорғау үшін бірдей шығу саясаты неге маңызды?

2024 Автор: Lynn Donovan | [email protected]. Соңғы өзгертілген: 2023-12-15 23:49

The бірдей - шығу саясаты шабуылдаушының оқуына немесе орнатуына жол бермейді печенье мақсатта домен , сондықтан олар жарамды қоя алмайды жетон олардың жасалған түрінде. Синхронизатор үлгісінен бұл техниканың артықшылығы мынада жетон серверде сақтаудың қажеті жоқ.

Сонымен қатар, бірдей шығу саясаты нені болдырмайды?

The бірдей - шығу саясаты болып табылады құжаттың немесе сценарийдің біреуінен жүктелу жолын шектейтін маңызды қауіпсіздік механизмі шығу тегі мүмкін басқа ресурспен әрекеттесу шығу тегі . Ол ықтимал шабуыл векторларын азайта отырып, ықтимал зиянды құжаттарды оқшаулауға көмектеседі.

Екіншіден, веб-браузерлерде бірдей шығу саясаты қандай? Дәл солай - шығу саясаты . Есептеуде, бірдей - шығу саясаты (кейде SOP ретінде қысқартылған) маңызды ұғым болып табылады желі қолданбалы қауіпсіздік моделі. Астында саясат , а веб-шолғыш біріншіде қамтылған сценарийлерге рұқсат береді желі деректерге секунд ішінде қол жеткізу үшін бет желі бет, бірақ екеуі де болса ғана желі беттерінде бар шығу тегі бірдей.

Сол сияқты, сол шығу тегі XSS-ке жол бермейді ме?

Дәл солай - шығу тегі басқа домендерге тікелей сценарийлерді енгізу немесе DOM өзгерту мүмкін емес дегенді білдіреді: сондықтан сізге мынаны табу керек XSS бастау үшін осалдық. SOP әдетте мүмкін емес алдын алу не XSS немесе CSRF. Javascript-ті басқа веб-сайттан жүктеуді SOP жоққа шығармайды, себебі бұл веб-сайтты бұзады.

CORS CSRF-ге жол бермейді ме?

CORS а емес CSRF Алдын алу механизмі Сервер орнатқанда a CORS саясатта ол браузерге сұрауларды жіберуге және серверлік жауаптарды бастаулар бойынша қабылдауға мүмкіндік беру үшін өзінің қалыпты әрекетін өзгертуге нұсқау береді. Дұрыс конфигурацияланған кезде CORS саясаты маңызды, ол жасайды өз алдына а құрамайды CSRF қорғаныс.