F
Frontend
Вопросы
Тренажер вопросов
Тесты
Задачи
скоро
Поиск по сайту
Ctrl + K
Вопросы по Веб-разработке
Как работает AJAX и чем он отличается от традиционных запросов?
Как реализовать обработку ошибок при запросах к API?
Что такое API-ключ и как его использовать?
Что такое API-версионирование и зачем оно нужно?
Как осуществляется авторизация и аутентификация в веб-приложениях?
Как избежать проблем с CORS в веб-приложении?
Как работает кеширование в браузере? Что такое ETag, Cache-Control и другие заголовки кеша?
Что такое CSP и как она помогает повысить безопасность?
Как работают куки и сессии в контексте веб-приложений?
Как работает блокировка запросов в результате политик безопасности (например, CSP)?
Как реализовать защиту от CSRF в веб-приложении?
Какие инструменты для отладки сетевых запросов вы знаете?
В чём разница между HTTP и HTTPS?
Что такое DNS и как происходит разрешение доменного имени в IP-адрес?
В чём разница между доменными и поддоменными запросами?
Как обеспечить безопасность данных при передаче по сети?
Как использовать Fetch API для выполнения HTTP-запросов?
Как браузеры управляют параллельными соединениями?
Как работает механизм сжатия данных в HTTP?
Что такое заголовки HTTP? Назови 5 полезных заголовков и их назначения.
Какие заголовки HTTP вы можете использовать для оптимизации производительности?
Как работают Keep-Alive соединения в HTTP/1.1?
Какие HTTP-методы вы знаете и в чём их назначение?
Объясни разницу между кодами ответа HTTP 200, 301, 400, 401, 403, 404, 500.
Что такое HTTP/2 и чем он отличается от HTTP/1.1?
Как работает последовательность handshake при HTTPS-соединении?
Что такое IP-адрес и чем отличаются IPv4 и IPv6?
Что такое JSON и как его использовать в веб-приложениях?
Что такое нагрузочное тестирование и как его проводить?
Как управлять временными ограничениями запросов?
Что такое микросервисы и как они связаны с архитектурой приложений?
Что такое MIME-типы и зачем они нужны?
Как можно отслеживать производительность сетевых запросов?
Какие бывают типы атак через сеть и как их можно ограничить с фронта?
На каком уровне модели OSI работают HTTP, TCP, и IP?
Что такое preflight-запрос и когда он отправляется?
Что такое XSS и как его предотвратить на уровне фронтенда?
Как работает механика обмена данными в реальном времени?
Чем отличаются заголовки Request Headers и Response Headers?
Каковы отличия между REST и GraphQL?
Как работает механизм retry при неудачных запросах?
Что такое Same-Origin Policy?
В чём разница между Same-Origin Policy и CORS?
Что такое сокеты и как они используются в веб-разработке?
Что такое сертификаты SSL и как они обеспечивают безопасность?
Что такое TCP и чем он отличается от UDP?
Как работает TLS и зачем он нужен в HTTPS?
Как работает механизм авторизации через токены (Bearer, JWT)?
Что такое TTL в DNS-записях?
Как работает механика соединений в WebSocket?
Что такое WebSocket и когда его лучше использовать вместо HTTP?
Что происходит при вводе URL в адресной строке браузера?
Что такое CDN и зачем он используется?
Что такое CORS и как он работает?
Что такое HTTP и как он работает?
Что такое MTU (Maximum Transmission Unit)?
Что такое NAT и как он работает?
Что такое прокси-сервер и зачем он может использоваться на клиенте?
Что такое заголовок Referer и как его можно ограничивать?
Что такое RESTful API и как его использовать?
Что такое VPN и как он влияет на сетевые запросы?
Что делает заголовок X-Content-Type-Options=nosniff ?

Что такое Same-Origin Policy?

Same-Origin Policy (SOP) — это механизм безопасности, реализованный в веб-браузерах, который ограничивает взаимодействие между ресурсами, загруженными с разных источников. Это важно для защиты данных и предотвращения различных видов атак, таких как Cross-Site Scripting (XSS) и Cross-Site Request Forgery (CSRF).

Определение "Origin"

"Origin" в данном контексте включает в себя три компонента:

  • Протокол (например, http или https)
  • Хост (например, example.com)
  • Порт (например, 8080)

    • Только если все три компонента совпадают, источники считаются одинаковыми. Например:

    • https://example.com и https://example.com — совпадают.
    • https://example.com и http://example.com — не совпадают (разные протоколы).
    • https://example.com:443 и https://example.com — совпадают (443 — это стандартный порт для HTTPS).
    • https://example.com и https://example.com:3000 — не совпадают (разные порты).

    Почему это важно?

    House может загрузить контент только с того же источника, с которого он загружен, если не применяется специальное разрешение, например, CORS (Cross-Origin Resource Sharing). Это предотвращает сценарии, в которых malicious сайт мог бы извлечь информацию из другого сайта (например, ваши учетные данные или личные данные).

    Примеры SOP

    Пример 1: Успешный запрос с одинаковым источником

    
<script>
    fetch("https://example.com/api/data")
            .then(response => response.json())
            .then(data => console.log(data))
            .catch(error => console.error("Ошибка:", error));
</script>

    Если скрипт загружается со страницы https://example.com, такой запрос пройдет успешно.

    Пример 2: Затруднительный запрос с другого источника

    
<script>
    fetch("https://another-example.com/api/data")
            .then(response => response.json())
            .then(data => console.log(data))
            .catch(error => console.error("Ошибка:", error));
</script>

    Если ваш скрипт находится на https://example.com, такой запрос будет заблокирован из-за нарушения SOP. Вы увидите ошибку в консоли.

    Как обойти Same-Origin Policy?

    Если вы, как разработчик, хотите разрешить доступ к ресурсам с других источников, вам нужно использовать CORS. Это позволяет серверу указать, какие источники могут успешно взаимодействовать с его ресурсами.

    Пример CORS

    На стороне сервера вы можете добавить заголовки, позволяющие доступ:

    Access-Control-Allow-Origin: https://example.com
Access-Control-Allow-Methods: GET, POST

    Это позволит вашему фронтенду на https://example.com отправлять запросы к серверу, расположенному на другом источнике.

    Заключение

    Same-Origin Policy — это важный аспект веб-безопасности, который гарантирует, что ваши данные остаются защищенными. Понимание того, как работает SOP и как его обойти с помощью CORS, — это ключевые навыки для любого фронтенд разработчика.

    Предыдущий вопрос
    Как работает механизм retry при неудачных запросах?
    Следующий вопрос
    В чём разница между Same-Origin Policy и CORS?
    Содержание:
    Определение "Origin"
    Почему это важно?
    Примеры SOP
    Как обойти Same-Origin Policy?
    Заключение
    Редактировать