Эмне үчүн Cookie Plus энбелгисин коргоо үчүн ошол эле келип чыгуу саясаты маанилүү?

2024 Автор: Lynn Donovan | [email protected]. Акыркы өзгөртүү: 2023-12-15 23:50

The бирдей - келип чыгуу саясаты чабуулчуга окууга же орнотууга жол бербейт печенье максатта домен , ошондуктан алар жарактуу кое албайт токен алардын даярдалган түрүндө. Бул техниканын синхронизатор үлгүсүнөн артыкчылыгы болуп саналат токен серверде сакталышы керек эмес.

Андан тышкары, ошол эле келип чыгуу саясаты эмнеге тоскоол болот?

The бирдей - келип чыгуу саясаты болуп саналат документтин же скрипттин биринен кантип жүктөлүшүн чектеген маанилүү коопсуздук механизми келип чыгышы мүмкүн башка ресурс менен өз ара аракеттенүү келип чыгышы . Бул мүмкүн болгон чабуул векторлорун азайтып, потенциалдуу зыяндуу документтерди изоляциялоого жардам берет.

Экинчиден, веб-браузерлерде ошол эле келип чыгуу саясаты кандай? Ошол эле - келип чыгуу саясаты . Эсептөөдө, бирдей - келип чыгуу саясаты (кээде SOP катары кыскартылган) маанилүү түшүнүк болуп саналат веб колдонмо коопсуздук модели. Астында саясат , а веб браузер биринчи камтылган скрипттерге уруксат берет веб секунданын ичинде маалыматтарга жетүү үчүн бет веб бет, бирок экөө тең болсо гана веб барактар бар ошол эле келип чыгышы.

Ошо сыяктуу эле, ошол эле келип чыгышы XSS тоскоол болобу?

Ошол эле - келип чыгышы башка домендерге түздөн-түз скрипттерди киргизе албайсыз же DOMды өзгөртө албайсыз дегенди билдирет. XSS башталышы үчүн алсыздык. SOP, адатта, мүмкүн эмес алдын алуу же XSS же CSRF. Javascriptти башка веб-сайттан жүктөө SOP тарабынан четке кагылбайт, анткени бул интернетти бузуп салат.

CORS CSRF алдын алабы?

CORS А эмес CSRF Алдын алуу механизми Сервер орноткондо а CORS саясаттын негизинде, ал браузерге суроо-талаптарды жөнөтүүгө жана сервердин жоопторун кабыл алууга уруксат берүү үчүн өзүнүн кадимки жүрүм-турумун өзгөртүүнү буйруйт. Ал эми туура конфигурацияланган CORS саясат маанилүү, бул кылат өзүнөн өзү эмес, а CSRF коргоо.