Usi della stessa politica di origine

Naviga le tue risposte
2

Sto cercando di capire quali casi d'uso esistono per l'uso della stessa politica di origine ( SOP) .

SOP impedisce a un documento o uno script caricato da un'origine di interagire con una risorsa di un'altra origine.

Ma in quali scenari questo è veramente usato? Da questa risposta , se includo script di diversi siti web nella mia pagina web, gli script non saranno soggetti a SOP poiché appartengono all'origine del mio sito web. Se tentano di includere altri script, tali script saranno soggetti a SOP (non saranno in grado di accedere alle risorse della mia pagina: DOM, cookie ecc.).

SOP viene anche usato per prevenire richieste AJAX tra domini.

Diverso da quanto sopra, c'è qualche altro scenario in cui è applicabile SOP?

    
posta Jake 09.02.2015 - 00:42
fonte

1 risposta

4

But in what scenarios is this really used ?

Ovunque. Altrimenti se hai visitato il mio sito web example.com sarei in grado di leggere il tuo Gmail se ti sei collegato al momento dallo stesso browser.

the scripts won't be subject to SOP as they belong to my website's origin.

Corretto: non saranno soggetti ad alcuna restrizione da parte del SOP.

If they try to include other scripts, then those scripts will be subject to SOP (won't be able to access my page's resources: DOM, cookies etc.).

Non è vero. Se quegli script includono altri script (ad esempio un document.write di un tag script - <script src="https://example.edu/foo.js"></script>),alloraquegliscriptsarannoanchesottol'originedeltuositoweb.Seincludiscriptdialtridominisottoiltuosito,allorastaidandopienoaccessoall'origineaqueldominio.

SOPisalsousedtopreventcross-domainAJAXrequests.

Nonèvero.IlSOPnonimpediscelacreazionediunarichiestaAJAXinterdominio,masemplicementeimpediscechevengaletto.

Otherthantheabove,isthereanyotherscenariowhereSOPisapplicable?

Sì,adesempioilSOPimpedisceaiframe,agliIFrameeallefinestredicomunicareinmodotrasversaletradomini.Controlla MDN per una spiegazione completa del SOP .

    
risposta data 10.02.2015 - 13:36
fonte

Leggi altre domande sui tag

È possibile impedire a un utente malintenzionato di catturare l'handshake WI-FI su WPA-2 AES? Protezione dei dati JSON