安全测试同源策略

同源策略(SOP)是Web应用程序安全模型中的一个重要概念。

什么是同源政策？

根据此策略，它允许在源自同一站点的页面上运行脚本，该站点可以是以下组合 -

• 域(域名)
• 协议
• 端口

实例

这种行为背后的原因是安全性。如果您在一个窗口中有try.com而在另一个窗口中有gmail.com，如果您不希望try.com的脚本访问或修改gmail.com的内容，或您想要在gmail的上下文中运行操作。

以下是来自同一来源的网页。如前所述，相同的起源需要考虑域/协议/端口。

• http://website.com
• http://website.com/
• http://website.com/my/contact.html

以下是来自不同来源的网页 -

• http://www.site.co.uk (不同域名)
• http://site.org (另一个域名)
• https://site.com (另一个协议)
• http://site.com:8080 (另一个端口

同源策略IE的异常

Internet Explorer有两个主要的SOP例外。

• 个与“受信任的区域”有关。如果两个域都在高度可信区域中，则同源策略不完全适用。
• IE中的第二个例外与端口有关。IE不包括进入同源策略的端口，因此 ttp://website.com和http://wesite.com:4444 认为来自同一来源，并且不应用任何限制。