同源策略是浏览器限制，它在服务器端是不是安全？

Posted 2023-02-27

【中文标题】同源策略是浏览器限制，它在服务器端是不是安全？

【英文标题】：Same Origin Policy is browser restriction, is it secure on server-side?同源策略是浏览器限制，它在服务器端是否安全？

【发布时间】：2019-01-18 15:02:38

【问题描述】：

我研究并知道同源策略 (SOP) 是由浏览器处理的基于客户端的策略。服务器负责向浏览器发回允许来源列表，浏览器用当前来源检查它，然后决定是否读取响应。也许某些情况下浏览器会发送一个 prelight 请求进行检查。但所有这些都是浏览器（客户端）的工作。服务器仍然接收来自不同域的请求并执行它然后发送响应。并且 SOP 不适用于来自另一台服务器的请求（服务器到服务器的请求），请求来自 POSTMAN ......所以我认为服务器仍然不安全 SOP。

谁能解释一下。谢谢。

【参考方案1】：

确实，Same Origin Policy 的存在并不意味着服务器可以免受攻击。 SOP 是一种非常具体的保护措施，在浏览器的特定上下文中运行。例如，即使使用 SOP 和正确使用 CORS，您仍然需要 Cross-Site Request Forgery 保护。而且您仍然容易受到攻击者可以利用的服务器错误的攻击。以此类推。

SOP 用于防止在浏览器中运行的代码从不同域读取数据。就是这样。