I browser Web più vecchi o personalizzati sovrascrivono lo stesso criterio di origine?

1

Comprendo perfettamente la base della politica di origine e il ragionamento per cui tutti i browser moderni hanno implementato questa politica.

La mia domanda è, i browser più vecchi lo supportano e, in caso contrario, potrebbero significare che le persone possono creare richieste AJAX e indirizzare queste richieste al mio sito Web utilizzando un browser precedente?

Il motivo per cui lo chiedo è perché non voglio che nessuno riesamini il mio sito web con richieste AJAX.

    
posta Peter Stuart 01.10.2013 - 16:31
fonte

2 risposte

6

La politica della stessa origine è una restrizione imposta dal client. Certamente, è possibile che un particolare cliente non riesca a far rispettare questa restrizione. Tieni presente che, facendo ciò, il client non sarà conforme agli standard W3C per l'http XMLHttpRequest API e comportamento iframe .

Nota che qualsiasi programma in grado di formulare una richiesta HTTP può inviare una richiesta al tuo sito. Il pericolo di violare la politica della stessa origine è di utenti , non del tuo sito. Le richieste Ajax inviano i cookie di autenticazione, quindi se un sito estraneo potrebbe, ad esempio, recuperare il contenuto di mail.google.com mentre il browser è connesso a Gmail, quel sito straniero potrebbe leggere la tua posta. Il rischio non è che una richiesta di origine incrociata possa raggiungere il tuo sito, ma che una risposta dal tuo sito possa essere letta da un sito di origine incrociata.

Ad esempio, chiunque può lanciare un attacco contro un sito con netcat facendo ripetutamente qualcosa del tipo:

echo "GET /index.html HTTP/1.0" | nc example.com 80

in tal modo inondando il sito con richieste TCP che contengono ciascuna una richiesta HTTP. È facile (più facile, di fatto) fare lo stesso con qualsiasi strumento dedicato per l'invio di richieste HTTP come cURL o wget.

Se ho frainteso la tua domanda e sei davvero preoccupata per l'utente: Wikipedia rende la richiesta di risarcimento che Netscape Navigator 2.0 (rilasciato 18 anni fa) supportava il SOP e questo post del forum di assistenza chiede come eludere la SOP in IE4 (rilasciata 16 anni fa), quindi possiamo essere certi che l'applicazione SOP è in giro da un po '; qualsiasi browser abbastanza vecchio da omettere l'applicazione SOP probabilmente ha molti altri punti deboli in esso, e probabilmente non dovresti spendere troppi sforzi cercando di proteggere gli utenti che usano un browser vecchio di decenni.

    
risposta data 01.10.2013 - 16:47
fonte
7

Lo scopo della norma della stessa origine è proteggere l'utente ( client) e non tu (il server). Quindi, è irrilevante in questo caso. Gli aggressori possono utilizzare strumenti come wget , cURL , e anche semplicemente iniettare JavaScript personalizzato nei browser moderni utilizzando strumenti prontamente disponibili come Strumenti per sviluppatori .

Pertanto, non importa se i vecchi browser hanno determinati comportamenti o meno, un utente malintenzionato probabilmente non utilizzerà affatto un browser.

Tutte le regole e le restrizioni di limitazione della velocità devono essere applicate lato server.

    
risposta data 01.10.2013 - 17:01
fonte

Leggi altre domande sui tag