2011-03-21 1 views
11

JSONP를 제외하고 동일한 도메인 정책이 준수되는 이유는 무엇입니까?도메인 간 AJAX 호출이 허용되지 않는 이유는 무엇입니까?

+0

DUPS http://jimbojw.com/wiki/index.php?title=Introduction_to_Cross-Domain_Ajax

더 : [왜 AJAX 요청은 같은 도메인으로 제한됩니다 (http://stackoverflow.com/questions/3156710)와 [왜 크로스 도메인 아약스 보안 문제가 무엇입니까? (http://stackoverflow.com/questions/466737) –

+0

가능한 복제본 [안티 크로스 도메인 정책의 요점은 무엇입니까?] (http : // stackoverflow.com/questions/3113253/whats-the-anti-cross-domain-policy) –

답변

11

보안상의 이유로 동일한 출처 정책이 구현되었습니다. wikipedia에서 관련 문장을 인용 : 서버가 HTTP 쿠키 정보를 기반으로 행위로

이 메커니즘은 광범위하게 인증 된 사용자 세션을 유지하기 위해 HTTP 쿠키에 을 따라 현대적인 웹 응용 프로그램에 대한 특정 의미를 곰 민감한 정보를 표시하거나 상태 변경 조치를 취하십시오.
관련이없는 사이트에서 제공되는 콘텐츠 사이의 엄격한 분리 은 데이터 의 기밀성 또는 무결성 손실을 방지하기 위해 클라이언트 쪽에서 관리해야합니다. 기본적으로

, 당신은 어떤 특정 웹 사이트 을 원하지 않는 (어떤 웹 사이트처럼 당신은 서핑 수 있습니다 - 우리 모든 사람들은 때때로 당신이 신뢰하지 말아야 웹 사이트에 도착 알고)가 데이터에 액세스 할 수있는 다른 어떤 사람이든 (웹 메일 또는 소셜 네트워크 계정).

+2

신선한 쿠키를 사용하여 보안 문제를 쉽게 피할 수 없었습니까? –

6

Same origin policy입니다.

자원의 악의적 인 사용을 막기 위해 동일한 출처 정책이 존재합니다. 도메인 간 스크립트 액세스를 관리하는 규칙이 없으면 의심하지 않는 사용자에게 모든 방식의 혼란을 야기 할 수 있습니다. 예를 들어, 악의적 인 웹 사이트가 세션 정보를 다른 사이트로 가져 와서 사용자 대신 작업을 실행하는 것이 쉽습니다.

하나의 예를 들어, 다음 사항을 고려하십시오 당신은 당신의 마음에 드는 웹 메일 프로그램으로 이동

를 - 그것은 Gmail을, 야후 메일, 핫메일, 또는 민간 회사 내부 웹 메일 프로그램이 될 수 있습니다.

로그인하고 이메일을 확인한 후 새 탭에서 열리는 악의적 인 사이트 링크를 클릭합니다.

악의적 인 사이트는 http 리퍼러를 확인하여 사용자가 전자 메일 계정에서 왔음을 확인합니다.

도메인 간 스크립팅을 사용하면 악의적 인 사이트가 전자 메일 탭으로 돌아가서 주소록과 모든 전자 메일 (또는 팝업을 닫기 전에 얻을 수있는 내용)을 다운로드 할 수 있습니다.

비밀번호, 재무 데이터 및 기타 민감한 자료를 이메일로 스캔 한 후 모든 연락처에 동일한 사이트를 추천하는 이메일을 보냅니다. 그리고 그것은 단지 하나의 예입니다. 보다 교활한 음모에는 악의적 인 제 3자가 브라우저를 사용하여 귀사의 인트라넷을 거미로 몰아 내며 기밀 정보를 사용자와 함께 공범자로 유출하게됩니다.