Test de sécurité - Politique de même origine
La politique de même origine (SOP) est un concept important dans le modèle de sécurité des applications Web.
Qu'est-ce que la politique de même origine?
Conformément à cette politique, il autorise l'exécution de scripts sur des pages provenant du même site qui peuvent être une combinaison des éléments suivants:
- Domain
- Protocol
- Port
Exemple
La raison de ce comportement est la sécurité. Si vous avez try.com dans une fenêtre et gmail.com dans une autre fenêtre, vous ne voulez PAS qu'un script de try.com accède ou modifie le contenu de gmail.com ou exécute des actions dans le contexte de gmail en votre nom.
Vous trouverez ci-dessous des pages Web de la même origine. Comme expliqué précédemment, la même origine prend en compte le domaine / protocole / port.
- http://website.com
- http://website.com/
- http://website.com/my/contact.html
Vous trouverez ci-dessous des pages Web d'une origine différente.
- http://www.site.co.uk (un autre domaine)
- http://site.org (un autre domaine)
- https://site.com (un autre protocole)
- http://site.com:8080 (un autre port)
Exceptions de politique de même origine pour IE
Internet Explorer a deux exceptions majeures aux SOP.
Le premier est lié aux «zones de confiance». Si les deux domaines se trouvent dans une zone hautement fiable, la stratégie de même origine ne s'applique pas complètement.
La deuxième exception dans IE est liée au port. IE n'inclut pas le port dans la politique de même origine, par conséquent, les sites http://website.com et http://wesite.com:4444 sont considérés comme provenant de la même origine et aucune restriction n'est appliquée.