Tại sao Chính sách gốc tương tự lại không cho phép đọc phản hồi GET?

Question

Tôi đã thực hiện một ít nghiên cứu trên web và tìm kiếm một số câu hỏi về SOP và loại lạm dụng nào giảm nhẹ, nhưng hầu hết các câu trả lời đều tập trung vào việc ngăn chặn thông tin đăng nhập bị đánh cắp. Điều này có ý nghĩa với tôi.

Điều không hợp lý với tôi là lý do khiến các trình duyệt tuân theo quy tắc SOP chặn phản hồi hoàn toàn, thay vì chặn truy cập cookie và bộ nhớ cục bộ.

Nói cách khác, nếu cookie và lưu trữ cục bộ không tồn tại, bạn vẫn cần ngăn chặn đọc phản hồi GET? Có lẽ điều này đã xảy ra ở một mức độ nào đó với <img>, <script> và .

Answer 1

Theo Mozilla Developer Network:

Chính sách cùng nguồn gốc hạn chế như thế nào một tài liệu hoặc kịch bản tải từ một nguồn gốc có thể tương tác với một nguồn lực từ nguồn gốc khác. Đây là một cơ chế bảo mật quan trọng để cách ly các tài liệu có thể độc hại.

Theo RFC 6454:

Mặc dù đại lý người dùng nhóm URI vào nguồn gốc, không phải mọi tài nguyên trong một nguồn gốc mang cùng một thẩm quyền (theo nghĩa an ninh của từ "thẩm quyền", không phải trong ý nghĩa [RFC3986]). Ví dụ: hình ảnh là nội dung thụ động và do đó không mang thẩm quyền, nghĩa là hình ảnh không có quyền truy cập vào các đối tượng và tài nguyên có sẵn cho nguồn xuất xứ của nó. Ngược lại, tài liệu HTML mang toàn quyền của nguồn gốc của nó và tập lệnh trong (hoặc được nhập vào) tài liệu có thể truy cập mọi tài nguyên có nguồn gốc.

Để trả lời câu hỏi của bạn, ngay cả khi cookie và bộ nhớ cục bộ không tồn tại, sẽ vẫn nguy hiểm khi thực thi tập lệnh không xác định trong ngữ cảnh của tài liệu. Các tập lệnh này có thể đưa ra các yêu cầu XHR với cùng IP như các kịch bản được ủy quyền và hoạt động kém.