Политика единого происхождения (SOP) является важной концепцией в модели безопасности веб-приложений.
Что такое политика единого происхождения?
В соответствии с этой политикой, она разрешает запуск сценариев на страницах, исходящих с одного и того же сайта, которые могут быть комбинацией следующих действий:
- Домен
- протокол
- порт
пример
Причиной такого поведения является безопасность. Если у вас есть try.com в одном окне, а gmail.com — в другом, то вы НЕ хотите, чтобы скрипт из try.com открывал или изменял содержимое gmail.com или выполнял действия в контексте gmail от вашего имени.
Ниже приведены веб-страницы того же происхождения. Как объяснялось ранее, тот же источник принимает во внимание домен / протокол / порт.
- http://website.com
- http://website.com/
- http://website.com/my/contact.html
Ниже приведены веб-страницы другого происхождения.
- http://www.site.co.uk (другой домен)
- http://site.org (другой домен)
- https://site.com (другой протокол)
- http://site.com:8080 (другой порт)
Исключения из той же политики происхождения для IE
У Internet Explorer есть два основных исключения из SOP.
Первый связан с «Доверенными зонами». Если оба домена находятся в зоне с высоким уровнем доверия, политика Same Origin не применяется полностью.
Второе исключение в IE связано с портом. IE не включает порт в политику Same Origin, поэтому http://website.com и http://wesite.com:4444 рассматриваются как имеющие одинаковое происхождение, и никакие ограничения не применяются.