安全測試同源策略

同源策略(SOP)是Web應用程式安全模型中的一個重要概念。

什麼是同源政策？

根據此策略，它允許在源自同一站點的頁面上執行指令碼，該站點可以是以下組合 -

• 域(域名)
• 協定
• 埠

範例

這種行為背後的原因是安全性。如果您在一個視窗中有try.com而在另一個視窗中有gmail.com，如果您不希望try.com的指令碼存取或修改gmail.com的內容，或您想要在gmail的上下文中執行操作。

以下是來自同一來源的網頁。如前所述，相同的起源需要考慮域/協定/埠。

• http://website.com
• http://website.com/
• http://website.com/my/contact.html

以下是來自不同來源的網頁 -

• http://www.site.co.uk (不同域名)
• http://site.org (另一個域名)
• https://site.com (另一個協定)
• http://site.com:8080 (另一個埠

同源策略IE的異常

Internet Explorer有兩個主要的SOP例外。

• 個與「受信任的區域」有關。如果兩個域都在高度可信區域中，則同源策略不完全適用。
• IE中的第二個例外與埠有關。IE不包括進入同源策略的埠，因此 ttp://website.com和http://wesite.com:4444 認為來自同一來源，並且不應用任何限制。