Trang chủ » Chính sách cùng xuất xứ (SOP) là gì?

Chính sách cùng xuất xứ (SOP) là gì?

bởi Phạm Đại Nghĩa
0 bình luận
Person on Computer


Cảm ơn các kỹ sư của Netscape đã giới thiệu Chính sách cùng nguồn gốc (SOP), bạn có thể thoải mái duyệt các trang web nhạy cảm mà không cần chia sẻ dữ liệu của mình với trang khác.

Ngay cả khi quan trọng như vậy, khái niệm chính sách cùng nguồn gốc vẫn khó hiểu đối với nhiều người dùng internet. Bài viết này sẽ giúp bạn hiểu rõ hơn về cách thức hoạt động và tại sao nó lại quan trọng.

Chính sách cùng xuất xứ (SOP) là gì?

Chính sách cùng nguồn gốc là một cơ chế bảo mật của trình duyệt, theo đó trình duyệt web hạn chế tập lệnh và dữ liệu của trang web khác truy cập vào dữ liệu và thông tin của chúng. Tuy nhiên, nó cho phép các tập lệnh và dữ liệu của trang web tương quan với nó.


Trang ứng dụng web trên máy tính xách tay

Trong chính sách cùng nguồn gốc, các trình duyệt ngăn nội dung có nguồn gốc khác nhau (trang web) can thiệp vào nội dung của chúng. Các quy tắc của chính sách cùng nguồn gốc nêu rõ rằng tất cả các tài nguyên được tải bởi một trình duyệt phải có cùng một giao thức (cũng có thể được gọi là lược đồ), URL và cổng được sử dụng để truy cập tài nguyên.

Đây là một ví dụ:

Giả sử bạn truy cập trang web myexample.com và sau đó truy cập example.com sau đó. Chính sách cùng nguồn gốc là thứ ngăn cản JavaScript của myexample.com truy cập thông tin trên example.com.

Giao thức là “http”, miền là “myexample.com” hoặc “example.com” và số cổng “80.” Theo mặc định, mọi trang web hoặc trang web có xu hướng có cùng một cổng, đó là “80.”

LÀM VIDEO TRONG NGÀY

Nếu không có chính sách cùng nguồn gốc, sau khi đăng nhập vào myexample.commột lệnh gọi JavaScript đơn giản, được tải trong iframe của nó, có thể được sử dụng để nhập các phần tử DOM (Mô hình đối tượng tài liệu) của ví dụ.com. Điều này sẽ dẫn đến việc lộ dữ liệu nhạy cảm với những hậu quả gây hại.

Điều quan trọng cần lưu ý là chính sách cùng nguồn gốc chỉ liên quan đến các tập lệnh. Các tài nguyên như CSS, hình ảnh và các tập lệnh được tải linh hoạt có thể được cung cấp từ các nguồn khác nhau bằng cách sử dụng các thẻ HTML thích hợp với phông chữ là một ngoại lệ đáng chú ý.

Do đó, bất kỳ cuộc tấn công nào được thực hiện trên các mã không phải là tập lệnh đều có hiệu quả bởi vì những kẻ tấn công khai thác thực tế là các thẻ HTML không tuân theo chính sách nguồn gốc giống nhau. Đây chắc chắn là một trong những thiếu sót của nó.

Một thiếu sót khác là các giới hạn lặp lại được đặt trên số lượng các hoạt động phức tạp trong các ứng dụng web hiện đại.

Mặc dù chính sách cùng nguồn gốc là đáng chú ý về bảo mật, nhưng hầu hết các trường hợp, nó ảnh hưởng đến nhiều tên miền phụ hoặc tên miền của cùng một tổ chức. Rất khó chia sẻ thông tin với các miền mặc dù chúng ở cùng nhau.

Tại sao Chính sách cùng xuất xứ (SOP) lại quan trọng?


Bàn làm việc tại nhà

Chính sách cùng nguồn gốc không chỉ đơn thuần là tạo ra các quy tắc giữa các trang web hoặc nguồn gốc; nó có liên quan, đặc biệt là liên quan đến các cuộc tấn công mạng. Nó cung cấp một số lợi ích bảo mật cho người dùng trực tuyến trong việc bảo mật thông tin của họ.

Dưới đây là một số lợi ích của chính sách cùng nguồn gốc.

1. Ngăn chặn các cuộc tấn công độc hại

Chính sách nguồn gốc giúp loại bỏ các vectơ tấn công độc hại tiềm ẩn trên một trang web hoặc nguồn gốc, đặc biệt là trên các trang web chứa hoặc lưu trữ dữ liệu người dùng nhạy cảm. Nó thực hiện điều này bằng cách tiến hành các cuộc tấn công tiềm năng được nhận biết ngay trước khi chúng leo thang.

Nếu bạn triển khai chính sách cùng nguồn gốc trên trang web hoặc trình duyệt của mình, thì các cuộc tấn công độc hại sẽ giảm đáng kể.

2. Hạn chế tương tác

Chính sách nguồn gốc giống nhau giúp hạn chế cách một tập lệnh từ một trang web tương tác với tập lệnh của một trang web khác.

Khi dữ liệu được chia sẻ bị hạn chế, tất cả các tài nguyên từ một nguồn gốc đều được bảo vệ cao. Một ví dụ sinh động về điều này là ví dụ mà chúng tôi đã đề cập về myexample.com xác định phạm vi kịch bản của ví dụ.com.

3. Ngăn chặn truy cập đọc trái phép

Chính sách nguồn gốc giống nhau giúp bảo vệ các trang web sử dụng phiên xác thực. Điều này có thể được nhìn thấy trong các trang web sử dụng chức năng “ghi nhớ tôi”.

Chính sách hoạt động bằng cách giữ thông tin đặc quyền an toàn. Nó ngăn chặn truy cập đọc trái phép từ nguồn này sang nguồn khác.

4. Hiệu quả cho Cookie

Chính sách cùng nguồn gốc cấm kẻ tấn công đọc hoặc thiết lập cookie trên miền nguồn được nhắm mục tiêu. Nó ngăn họ chèn mã thông báo hợp lệ vào biểu mẫu do họ nghĩ ra. Giấy phép không cần phải được lưu trữ trên máy chủ, đây là một lợi ích bổ sung của kỹ thuật này so với mẫu thời gian.

Bảo mật dữ liệu của bạn với chính sách cùng nguồn gốc

Chính sách cùng nguồn gốc là một cấu trúc trung tâm của nhiều quy trình bảo mật web, bao gồm truy cập DOM, JavaScript, cookie, v.v.

Có nhiều cách triển khai chính sách cùng nguồn gốc cho các loại nội dung web khác nhau. Tương tự, có các định nghĩa khác nhau về cách chính sách nguồn gốc áp dụng cho quyền truy cập cookie, JavaScript và DOM trên các trình duyệt.

Hãy thận trọng hơn khi thiết lập trang web của bạn để cung cấp bảo mật tốt hơn và nâng cao trải nghiệm người dùng với chính sách cùng nguồn gốc.


Bảo mật vân tay hình ảnh

Vân tay trình duyệt là gì và bạn có thể tự bảo vệ mình chống lại nó như thế nào?

Đọc tiếp


Giới thiệu về tác giả



Nguồn: www.makeuseof.com | Dịch bởi: Kênh Viễn Thông

Có thể bạn thích

Để lại một bình luận