同源策略是浏览器限制,它在服务器端是不是安全?
Posted
技术标签:
【中文标题】同源策略是浏览器限制,它在服务器端是不是安全?【英文标题】:Same Origin Policy is browser restriction, is it secure on server-side?同源策略是浏览器限制,它在服务器端是否安全? 【发布时间】:2019-01-18 15:02:38 【问题描述】:我研究并知道同源策略 (SOP) 是由浏览器处理的基于客户端的策略。服务器负责向浏览器发回允许来源列表,浏览器用当前来源检查它,然后决定是否读取响应。也许某些情况下浏览器会发送一个 prelight 请求进行检查。但所有这些都是浏览器(客户端)的工作。服务器仍然接收来自不同域的请求并执行它然后发送响应。并且 SOP 不适用于来自另一台服务器的请求(服务器到服务器的请求),请求来自 POSTMAN ......所以我认为服务器仍然不安全 SOP。
谁能解释一下。谢谢。
【问题讨论】:
【参考方案1】:确实,Same Origin Policy 的存在并不意味着服务器可以免受攻击。 SOP 是一种非常具体的保护措施,在浏览器的特定上下文中运行。例如,即使使用 SOP 和正确使用 CORS,您仍然需要 Cross-Site Request Forgery 保护。而且您仍然容易受到攻击者可以利用的服务器错误的攻击。以此类推。
SOP 用于防止在浏览器中运行的代码从不同域读取数据。就是这样。
【讨论】:
以上是关于同源策略是浏览器限制,它在服务器端是不是安全?的主要内容,如果未能解决你的问题,请参考以下文章