同源策略是浏览器限制,它在服务器端是否安全?

【问题标题】:Same Origin Policy is browser restriction, is it secure on server-side?同源策略是浏览器限制,它在服务器端是否安全?
【发布时间】:2019-01-18 15:02:38
【问题描述】:

我研究并知道同源策略 (SOP) 是由浏览器处理的基于客户端的策略。服务器负责向浏览器发回允许来源列表,浏览器用当前来源检查它,然后决定是否读取响应。也许某些情况下浏览器会发送一个 prelight 请求进行检查。但所有这些都是浏览器(客户端)的工作。服务器仍然接收来自不同域的请求并执行它然后发送响应。并且 SOP 不适用于来自另一台服务器的请求(服务器到服务器的请求),请求来自 POSTMAN ......所以我认为服务器仍然不安全 SOP。

谁能解释一下。谢谢。

【问题讨论】:

    标签: cors cross-domain same-origin-policy


    【解决方案1】:

    确实,Same Origin Policy 的存在并不意味着服务器可以免受攻击。 SOP 是一种非常具体的保护措施,在浏览器的特定上下文中运行。例如,即使使用 SOP 和正确使用 CORS,您仍然需要 Cross-Site Request Forgery 保护。而且您仍然容易受到攻击者可以利用的服务器错误的攻击。以此类推。

    SOP 用于防止在浏览器中运行的代码从不同域读取数据。就是这样。

    【讨论】:

      猜你喜欢
      • 2011-06-06
      • 1970-01-01
      • 2015-11-10
      • 2017-01-23
      • 2012-06-14
      • 2013-05-18
      • 2017-11-09
      • 1970-01-01
      • 2015-06-21
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode