Cookie Plus жетон хамгаалахад ижил гарал үүслийн бодлого яагаад чухал вэ?

2024 Зохиолч: Lynn Donovan | [email protected]. Хамгийн сүүлд өөрчлөгдсөн: 2023-12-15 23:50

The адилхан - гарал үүслийн бодлого халдагчийг унших, тохируулахаас сэргийлдэг жигнэмэг зорилтот дээр домэйн , тиймээс тэд хүчинтэй байж чадахгүй жетон тэдний урласан хэлбэрээр. Энэ аргын Synchronizer загвараас давуу тал нь жетон сервер дээр хадгалах шаардлагагүй.

Цаашилбал, ижил гарал үүслийн бодлого юунд саад болдог вэ?

The адилхан - гарал үүслийн бодлого юм Баримт бичиг эсвэл скриптийг нэгээс хэрхэн ачаалахыг хязгаарладаг аюулгүй байдлын чухал механизм гарал үүсэл болно өөр эх сурвалжтай харилцах гарал үүсэл . Энэ нь хортой байж болзошгүй баримт бичгүүдийг тусгаарлаж, халдлагын векторыг багасгахад тусалдаг.

Хоёрдугаарт, вэб хөтөч дээр ижил гарал үүслийн бодлого юу вэ? Үүнтэй адил - гарал үүслийн бодлого . Тооцоолоход, the адилхан - гарал үүслийн бодлого (заримдаа SOP гэж товчилдог) нь чухал ойлголт юм вэб хэрэглээний аюулгүй байдлын загвар. Доор бодлого , a вэб хөтөч Эхний хэсэгт агуулагдсан скриптүүдийг зөвшөөрдөг вэб секундын дотор өгөгдөлд хандах хуудас вэб хуудас, гэхдээ зөвхөн хоёулаа байвал вэб хуудаснууд нь байна ижил гарал үүсэл.

Үүний нэгэн адил, ижил гарал үүсэл нь XSS-ээс сэргийлдэг үү?

Үүнтэй адил - гарал үүсэл Энэ нь та бусад домэйн дээрх скриптүүдийг шууд оруулах эсвэл DOM-г өөрчлөх боломжгүй гэсэн үг юм: тиймээс та үүнийг олох хэрэгтэй. XSS эхлээд эмзэг байдал. SOP нь ихэвчлэн боломжгүй байдаг урьдчилан сэргийлэх аль аль нь XSS эсвэл CSRF. Javascript-ийг өөр вэб сайтаас ачаалахыг SOP үгүйсгэхгүй, учир нь энэ нь вэбийг эвдэх болно.

CORS нь CSRF-ээс сэргийлдэг үү?

CORS А биш CSRF Урьдчилан сэргийлэх механизм Сервер тохируулах үед a CORS Бодлогын дагуу энэ нь хөтөчдөө хүсэлт илгээх, серверийн хариуг хүлээн авах боломжийг олгохын тулд ердийн үйл ажиллагаагаа өөрчлөхийг зааварчилдаг. Зөв тохируулагдсан байхад CORS бодлого чухал шүү дээ хийдэг дангаараа биш a CSRF хамгаалалт.