پالیسی sop

منتشر شده در دسته : بلاگ, تست نفوذ وب

پالیسی sop یا same origin policy یا به عبارتی دیگر پالیسی همان مبدا, یک اجرای امنیتی است که در بیشتر مرورگرهای رایج پیاده سازی شده است و شیوه ارتباطی و تعیین خصیصه های یک سند یا اسکریپت یا دیگر انواع داده ای بارگذاری شده از یک مبدا (origin) با مبدا دیگر را محدود می کند. این تعریف در ابتدا کمی گیج کننده هست ولی در ادامه توضیحات جامعی می دهیم که مطلب برای شما کاملا روشن خواهد شد. پالیسی sop مفهومی بسیاری حیاتی برای اپلیکیشن های وب به شمار می رود.

پالیسی sop

به منظور درک بهتر sop مثالی را مطرح می کنیم. تصور کنید که از طریق یک برگه در مرورگر خود وارد ایمیل شده اید. اکنون صفحه دیگری را درون برگه دیگری از مرورگر باز می کنید که این صفحه دارای قطعه کد جاوا اسکریپت می باشد. این کد جاوا اسکریپت سعی در خواندن پیام های ایمیل شما دارد. این همان جایی است که پالیسی sop وارد عمل شده و با اسکریپت مخرب مقابله می کند. به محض اینکه درخواستی به منظور دسترسی به ایمیل های شما ایجاد می شود که از سایت مبدا ایمیل شما نیست (مبدا یا origin اصلی ایمیل شماست) , پالیسی sop مانع از اجرای آن می شود. در واقع با این کار هر درخواست دیگری که در مرورگر ایجاد شود و بخشی از صفحه ایمیل شما در مرورگر نباشد و بخواهد به صورت مخفیانه عملکردی صورت دهد از بین می رود.

اکنون به زبان ساده مفهوم را بیان کردیم کمی تخصصی تر توضیح می دهیم. مبدا یا origin چگونه پیاده سازی می شود. در واقع مبدا بر اساس پروتکل , شماره پورت و از همه مهم تر نام میزبان صفحه وب تعیین می شود. هر چیزی که خارج از این محدوده باشد مبدا دوم در نظر گرفته شده و طبق پالیسی sop نمی تواند اجرا گردد. لازم به ذکر است که تا زمانیکه دیگر پارامترها تعیین شود مسیر صفحه اهمیتی ندارد و جزئی از مبدا نیست.

به یاد داشته باشید که پالیسی sop تنها برای جاوا اسکریپت نیست بلکه برای دیگر تکنولوژی ها همچون کوکی ها , آژاکس , فلش و … نیز به کار می رود. داده های ذخیره شده درون localStorage نیز از پالیسی Sop پیروی می کنند.

جدول زیر تفاوت نتایج بدست آمده از پالیسی Sop را بر اساس نام میزبان , شماره پورت و پروتکل بر اساس مبدا http://netamooz.net نمایش می دهد.

پالیسی sop - پالیسی same origin - پالیسی همان مبدا - سیاست همان مبدا

یک مثال تمرینی که خودتان هم می توانید امتحان کنید. فایل تمرینی را از اینجا دانلود کنید و از حالت زیپ خارج کرده و فایل index.html را درون مرورگر گوگل کروم باز کنید.

به محض اینکه این کد درون مرورگر گوگل کروم اجرا می شود, تگ آیفریم موجود در آن بلاک می شود. برای مشاهده نتیجه خطا کلید F12 را درون مرورگر وارد کنید و به بخش Console رفته تا پیام console.log را مشاهده کنید. پالیسی همان مبدا با موفقیت محتوا درج شده تگ آیفریم را بلاک می کند.

صاحب امتیاز نت آموز : نویسنده , مدرس و متخصص در زمینه امنیت شبکه های رایانه ای

یک دیدگاه

نظرات غیرمرتبط با محتوای این مطلب تایید نخواهند شد.

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *