同源策略是浏览器限制,服务器端安全吗?
Same Origin Policy is browser restriction, is it secure on server-side?
我研究过并知道同源策略 (SOP) 是由浏览器处理的基于客户端的策略。服务器负责向浏览器发送列表 allow-origin 和浏览器检查它与当前来源然后决定是否读取响应。也许某些情况下浏览器会发送预亮请求进行检查。但是所有这些都是浏览器(客户端)的工作。服务器仍然接收来自不同域的请求并执行它然后发送响应。并且 SOP 不适用于来自另一台服务器的请求(服务器到服务器的请求),来自 POSTMAN 的请求...所以我认为服务器仍然不安全 SOP。
谁能详细解释一下。谢谢。
例如 Same Origin Policy doesn't mean that the server is secure from attack. The SOP is a very specific protection that operates in the specific context of a browser. Even with the SOP and proper CORS use, you still need Cross-Site Request Forgery 保护的存在当然是真的。而且您仍然容易受到攻击者可以利用的服务器错误的攻击。等等。
SOP 用于防止浏览器中的代码 运行 读取来自不同域的数据。就这些了。
我研究过并知道同源策略 (SOP) 是由浏览器处理的基于客户端的策略。服务器负责向浏览器发送列表 allow-origin 和浏览器检查它与当前来源然后决定是否读取响应。也许某些情况下浏览器会发送预亮请求进行检查。但是所有这些都是浏览器(客户端)的工作。服务器仍然接收来自不同域的请求并执行它然后发送响应。并且 SOP 不适用于来自另一台服务器的请求(服务器到服务器的请求),来自 POSTMAN 的请求...所以我认为服务器仍然不安全 SOP。
谁能详细解释一下。谢谢。
例如 Same Origin Policy doesn't mean that the server is secure from attack. The SOP is a very specific protection that operates in the specific context of a browser. Even with the SOP and proper CORS use, you still need Cross-Site Request Forgery 保护的存在当然是真的。而且您仍然容易受到攻击者可以利用的服务器错误的攻击。等等。
SOP 用于防止浏览器中的代码 运行 读取来自不同域的数据。就这些了。