Ця політика запобігає зловмисному сценарію на одній сторінці отримати доступ до конфіденційних даних на іншій веб-сторінці через об’єктну модель документа (DOM) цієї сторінки.. Вважається, що дві веб-сторінки мають однакове джерело, лише якщо збігаються всі три компоненти. 9 березня 2024 р
Політика однакового походження — це критично важливий механізм безпеки, який обмежує взаємодію документа або сценарію, завантаженого з одного джерела, з ресурсом з іншого джерела. Це допомагає ізолювати потенційно шкідливі документи, зменшуючи можливі вектори атак.
Політика того самого походження – це функція безпеки веб-переглядача, яка обмежує взаємодію документів і сценаріїв з одного джерела з ресурсами з іншого джерела. Браузер може завантажувати та відображати ресурси з кількох сайтів одночасно.
XSS-атаки обходять політику того самого походження. SOP — це захід безпеки, який запобігає взаємодії сценаріїв, створених на одному веб-сайті, зі сценаріями з іншого веб-сайту. Відповідно до SOP, увесь вміст веб-сторінки має надходити з одного джерела.
Винятки на стороні сервера з політики того самого джерела, наприклад CORS, JSONP і серверні проксі, додають складності моделі веб-безпеки. Незважаючи на те, що вони забезпечують гнучкість взаємодії між джерелами, вони також створюють потенційні ризики для безпеки, якщо їх не впроваджено та налаштовано належним чином.
Одним із способів подолання обмежень політики однакового походження є використовуйте JSONP, щоб надати проксі для веб-служби. Це можна зробити, включивши тег сценарію з атрибутом src, який вказує на певний сценарій, розміщений у будь-якому домені.
Політика того самого походження зазвичай контролює доступ коду JavaScript до вмісту, який завантажується між доменами. Перехресне завантаження ресурсів сторінок зазвичай дозволено. Наприклад, SOP дозволяє вбудовувати зображення за допомогою тегу <img>, медіа за допомогою тегу <video>, а JavaScript включає тег <script>.