Кто-то может объяснить мне, как функция "Политика единого происхождения" защищает нас от веб-атак (XSS, CSRF и т.д.)?
1 ответ
2
Это зависит от контекста.
Если у вас есть политика "Одинакового происхождения" при выполнении сценариев на веб-сайте, то можно запускать только те сценарии, которые исходят из того же доменного имени (веб-сайта), что и сам веб-сайт. Это мешает хакерам внедрять скрипты в веб-сайт через такие вещи, как хитрая реклама и тому подобное.
Если у вас есть "То же происхождение" в таких вещах, как вызовы AJAX, то сервер будет обрабатывать только запросы на вызовы AJAX, поступающие из домена веб-сайта, с которым связан сервер AJAX. Это позволяет другим сайтам ошибочно вызывать ваши подпрограммы AJAX.
Таким образом, это в основном попытка убедиться, что запросы и сценарии поступают из правильных мест и не заменяются и не вводятся хакерами.