Политика одинакового происхождения - Same-origin policy

В вычисление, то политика одного происхождения (иногда сокращенно СОП) - важная концепция веб-приложения. модель безопасности. Согласно политике, веб-браузер разрешает скриптам, содержащимся на первой веб-странице, получать доступ к данным на второй веб-странице, но только если обе веб-страницы имеют одинаковые источник. Происхождение определяется как комбинация Схема URI, имя хоста, и номер порта. Эта политика предотвращает получение вредоносным сценарием на одной странице доступа к конфиденциальным данным на другой веб-странице через Объектная модель документа.

Этот механизм имеет особое значение для современных веб-приложений, которые во многом зависят от HTTP куки[1] для поддержки аутентифицированных пользовательских сеансов, поскольку серверы действуют на основе информации cookie HTTP, чтобы раскрыть конфиденциальную информацию или предпринять действия по изменению состояния. На стороне клиента должно поддерживаться строгое разделение контента, предоставляемого несвязанными сайтами, чтобы предотвратить потерю конфиденциальности или целостности данных.

Очень важно помнить, что политика одного и того же происхождения применяется только к скриптам. Это означает, что к таким ресурсам, как изображения, CSS и динамически загружаемые скрипты, можно получить доступ из разных источников через соответствующие теги HTML.[2] (примечательным исключением являются шрифты[3]). Атаки используют тот факт, что одна и та же политика происхождения не применяется к тегам HTML.

История

Концепция политики одинакового происхождения была введена Netscape Navigator 2.02 в 1995 г.[4] вскоре после введения JavaScript в Netscape 2.0[5][6]. JavaScript включен сценарии на веб-страницах и, в частности, программный доступ к объектной модели документа (DOM).

Изначально политика была разработана для защиты доступа к модели DOM, но с тех пор была расширена для защиты конфиденциальных частей глобального объекта JavaScript.

Выполнение

Все современные браузеры реализуют ту или иную форму политики одного и того же происхождения, поскольку это важный краеугольный камень безопасности.[7] Политики не обязательно должны соответствовать точной спецификации [8] но часто расширяются для определения примерно совместимых границ безопасности для других веб-технологий, таких как Microsoft Silverlight, Adobe Flash, или же Adobe Acrobat, или для механизмов, отличных от прямого манипулирования DOM, таких как XMLHttpRequest.

Правила определения происхождения

Алгоритм, используемый для вычисления "происхождения" URI, указан в RFC 6454, Раздел 4. Для абсолютных URI источником является тройка {схема, хост, порт}. Если URI не использует иерархический элемент в качестве центра присвоения имен (см. RFC 3986, Раздел 3.2), или если URI не является абсолютным URI, то используется глобальный уникальный идентификатор. Два ресурса считаются имеющими одно и то же происхождение тогда и только тогда, когда все эти значения совершенно одинаковы.

В качестве иллюстрации в следующей таблице представлен обзор типичных результатов проверок на соответствие URL "http://www.example.com/dir/page.html".

Сравните URLИсходПричина
http://www.example.com/dir/page2.htmlУспехТа же схема, хост и порт
http://www.example.com/dir2/other.htmlУспехТа же схема, хост и порт
http: //имя пользователя Пароль@www.example.com/dir2/other.htmlУспехТа же схема, хост и порт
http://www.example.com:81/dir/other.htmlОтказТа же схема и хост, но другой порт
https: //www.example.com/dir/other.htmlОтказДругая схема
http: //en.example.com/dir/other.htmlОтказДругой хост
http: //example.com/dir/other.htmlОтказДругой хост (требуется точное соответствие)
http: //v2.www.example.com/dir/other.htmlОтказДругой хост (требуется точное соответствие)
http://www.example.com:80/dir/other.htmlЗависит отПорт явный. Зависит от реализации в браузере.

В отличие от других браузеров, Internet Explorer не включает порт при вычислении источника, используя вместо него Зону безопасности.[9]

Приложения безопасности

Политика одного источника помогает защитить сайты, использующие сеансы с проверкой подлинности. Следующий пример иллюстрирует потенциальную угрозу безопасности, которая может возникнуть без политики одного и того же происхождения. Предположим, что пользователь заходит на сайт банка и не выходит из системы. Затем пользователь переходит на другой сайт, на котором в фоновом режиме работает вредоносный код JavaScript, который запрашивает данные с сайта банка. Поскольку пользователь по-прежнему авторизован на сайте банка, вредоносный код может делать все, что пользователь может сделать на сайте банка. Например, он может получить список последних транзакций пользователя, создать новую транзакцию и т. Д. Это связано с тем, что браузер может отправлять и получать файлы cookie сеанса на сайт банка на основе домена сайта банка.

Пользователь, посещающий вредоносный сайт, будет ожидать, что сайт, который он или она посещает, не имеет доступа к cookie банковского сеанса. Хотя верно, что JavaScript не имеет прямого доступа к cookie сеанса банковского обслуживания, он все же может отправлять и получать запросы на сайт банка с помощью файла cookie сеанса банковского сайта. Поскольку сценарий по сути может делать то же самое, что и пользователь, даже CSRF защита банковского сайта не будет эффективной.

Ослабление политики одинакового происхождения

В некоторых случаях политика одного и того же происхождения является слишком строгой, что создает проблемы для крупных веб-сайтов, использующих несколько поддомены. Сначала предлагается ряд обходных путей, например, использование идентификатор фрагмента или window.name свойство использовалось для передачи данных между документами, находящимися в разных доменах. Современные браузеры поддерживают несколько методов контролируемого ослабления политики одного и того же происхождения:

Заражение данных

Netscape Navigator кратко содержал проверка на заражение особенность. Эта функция была экспериментально представлена ​​в 1997 году как часть Netscape 3.[10] Эта функция была отключена по умолчанию, но если она была включена пользователем, она позволяла веб-сайтам пытаться читать свойства JavaScript окон и кадры принадлежащий другому домену. Затем браузер спросит пользователя, разрешить ли рассматриваемый доступ.[11][12]

document.domain свойство

Если два окна (или фрейма) содержат сценарии, которые устанавливают для домена одно и то же значение, политика одного и того же происхождения ослабляется для этих двух окон, и каждое окно может взаимодействовать с другим. Например, совместные скрипты в документах, загруженных с страниц orders.example.com и catalog.example.com, могут устанавливать свои document.domain properties на «example.com», тем самым создавая впечатление, что документы имеют одно и то же происхождение, и позволяя каждому документу читать свойства другого. Установка этого свойства неявно устанавливает для порта значение null, которое большинство браузеров интерпретирует иначе, чем порт 80 или даже неуказанный порт. Чтобы гарантировать, что доступ будет разрешен браузером, установите свойство document.domain для обеих страниц.[13]

В document.domain концепция была представлена ​​как часть Netscape Navigator 3,[14] выпущен в 1996 году.[10]

Совместное использование ресурсов между источниками

Другой метод ослабления политики одинакового происхождения стандартизирован под названием Совместное использование ресурсов между источниками. Этот стандарт расширяет HTTP с помощью нового заголовка запроса Origin и нового заголовка ответа Access-Control-Allow-Origin.[15] Это позволяет серверам использовать заголовок для явного перечисления источников, которые могут запрашивать файл, или использовать подстановочный знак и разрешать запрос файла любым сайтом. Такие браузеры, как Firefox 3.5, Safari 4 и Internet Explorer 10, используют этот заголовок, чтобы разрешить HTTP-запросы с разными источниками с XMLHttpRequest, которые в противном случае были бы запрещены политикой того же происхождения.

Обмен сообщениями между документами

Другая техника, обмен сообщениями между документами позволяет сценарию с одной страницы передавать текстовые сообщения сценарию на другой странице независимо от происхождения сценария. Вызов метода postMessage () для объекта Window асинхронно запускает событие «onmessage» в этом окне, вызывая любые определенные пользователем обработчики событий. Сценарий на одной странице по-прежнему не может напрямую обращаться к методам или переменным на другой странице, но они могут безопасно взаимодействовать с помощью этой техники передачи сообщений.

JSONP

Поскольку HTML <script> элементам разрешено извлекать и выполнять контент из других доменов, страница может обходить политику того же происхождения и получать данные JSON из другого домена, загружая ресурс, который возвращает полезную нагрузку JSONP. Полезные данные JSONP состоят из внутренних полезных данных JSON, обернутых заранее определенным вызовом функции. Когда ресурс сценария загружается браузером, будет вызвана назначенная функция обратного вызова для обработки обернутой полезной нагрузки JSON.

WebSockets

Современные браузеры позволяют сценарию подключаться к адресу WebSocket без применения политики того же происхождения. Однако они распознают, когда используется URI WebSocket, и вставляют Источник: заголовок в запросе, который указывает источник скрипта, запрашивающего соединение. Чтобы гарантировать межсайтовую безопасность, сервер WebSocket должен сравнить данные заголовка с белым списком источников, которым разрешено получать ответ.

Угловые шкафы

Поведение проверок одного и того же происхождения и связанных механизмов недостаточно четко определено в ряде крайних случаев, таких как псевдопротоколы, у которых нет четко определенного имени хоста или порта, связанного с их URL-адресами (файл:, данные: и т. д.). Исторически это вызывало изрядное количество проблем с безопасностью, таких как обычно нежелательная способность любого локально сохраненного файла HTML получать доступ ко всем другим файлам на диске или связываться с любым сайтом в Интернете.

Наконец, определенные типы атак, такие как повторное связывание DNS или прокси на стороне сервера, позволяют частично нарушить проверку имени хоста и позволяют мошенническим веб-страницам напрямую взаимодействовать с сайтами через адреса, отличные от их «истинных», канонических источник. Воздействие таких атак ограничено очень конкретными сценариями, поскольку браузер по-прежнему считает, что он взаимодействует с сайтом злоумышленника, и поэтому не раскрывает сторонние файлы cookie или другую конфиденциальную информацию злоумышленнику.

Атаки против политики одного происхождения

Даже если действует политика одного и того же происхождения (без ослабления совместного использования ресурсов между источниками), могут выполняться определенные компьютерные атаки с перекрестным происхождением. WebRTC может использоваться для определения внутреннего IP-адреса жертвы.[16] При попытке подключиться к порту с перекрестным происхождением ответы не могут быть прочитаны с учетом политики того же происхождения, но JavaScript все равно может делать выводы о том, открыт ли порт или закрыт, проверяя, возникает ли событие onload / onerror, или получаем таймаут. Это дает возможности для сканирования портов между разными источниками. Кроме того, JavaScript может даже использовать сервисы отпечатков пальцев из разных источников, используя файлы по умолчанию. Например, если JavaScript, загруженный с сайта evil.com, пытается открыть файл http://127.0.0.1/images/jenkins.png, и возникает событие onload, то можно сделать вывод, что жертва запускает Jenkins на своем собственном компьютере. Таким образом, злоумышленник может найти потенциально уязвимые службы, например, во внутренней сети, даже при наличии политики одного происхождения. Если какая-либо служба будет уязвима для подделки межсайтовых запросов, она может быть даже взломана.[17]

Смотрите также

дальнейшее чтение

Рекомендации

  1. ^ IETF HTTP State Management Mechanism, апрель 2011 г.
  2. ^ Кемп, Джон (04.02.2011). «Безопасность в сети». Получено 2018-07-24. Политика одинакового происхождения гласит, что документ из одного уникального источника может загружать ресурсы только из источника, из которого был загружен документ. В частности, это относится к вызовам XMLHttpRequest, выполняемым из документа. На изображения, CSS и динамически загружаемые скрипты не распространяется политика одинакового происхождения.
  3. ^ "@ font-face". Веб-документы MDN. Получено 2018-07-24. Веб-шрифты подлежат тому же ограничению домена (файлы шрифтов должны находиться в том же домене, что и страница, использующая их), если только элементы управления доступом HTTP не используются для ослабления этого ограничения.
  4. ^ «Руководство по Netscape 3.0 - Дополнительные темы». netscape.com. Архивировано из оригинал на 2002-08-08. Получено 2020-02-16. Navigator версии 2.02 и более поздних автоматически запрещает скриптам на одном сервере доступ к свойствам документов на другом сервере.
  5. ^ «JavaScript 1.0 - 1995». www.webdesignmuseum.org. Получено 2020-01-19.
  6. ^ «Добро пожаловать в Netscape Navigator версии 2.0». netscape.com. 1997-06-14. Архивировано из оригинал на 1997-06-14. Получено 2020-02-16.
  7. ^ "Руководство по безопасности браузера, часть 2". google.com. Получено 31 января 2014.
  8. ^ «Та же политика происхождения». W3C. Получено 31 января 2014.
  9. ^ Лоуренс, Эрик. "IEInternals - та же политика происхождения, часть 1". Получено 22 октября 2013.
  10. ^ а б «Netscape Navigator 3.0 - Что нового». netscape.com. 1997-06-14. Архивировано из оригинал на 1997-06-14. Получено 2020-02-16.
  11. ^ "Руководство по JavaScript 1.3 - Безопасность". netscape.com. 21 февраля 2003 г. Архивировано из оригинал на 2003-02-21. Получено 2020-02-16.
  12. ^ "Руководство по JavaScript 1.3 - Безопасность". docs.oracle.com. В архиве из оригинала от 24.08.2012. Получено 2020-02-16.
  13. ^ Лепера, Скотт. "Проблемы междоменной безопасности". Странный дзен JavaScript. Получено 4 апреля 2014.
  14. ^ «Netscape 3.0 - Руководство по JavaScript». netscape.com. Архивировано из оригинал на 2002-10-03. Получено 2020-02-16.
  15. ^ Создание промежуточного программного обеспечения WSGI
  16. ^ Определение внутреннего IP-адреса с помощью JavaScript
  17. ^ Атака на внутреннюю сеть из общедоступного Интернета с использованием браузера в качестве прокси

внешняя ссылка