Same Origin Policy (SOP)

Bu konu için en güzel açıklayıcı senaryolar ve örnekler Ziyahan hocanın yazısında mevcut (https://www.netsparker.com.tr/blog/web-guvenligi/Same-Origin-Policy/). Ben bu konu için çok genel bir çerçeve çizip konuyu özetler nitelikte bir kaç kavramdan bahsedeceğim.

Şimdi bir html dosyasında iframe kullanarak farklı bir siteyi, oluşturduğumuz dosyanın içine ekleyelim. iframe için name değeri olarak iframe ismi verelim. Tarayıcımızda html dosyamızı çalıştıralım ve f12 tuşu ile developer tool penceresini açalım. Açılan pencerede console sekmesinde frame.location.href yazıp dosyamıza eklediğimiz siteyi çağıralım. Developer tool bize hata verdi (DOM hatası). İframe ile eklediğimiz site gelmedi.

Burada çağırdığımız sitenin gelmemesinin sebebi same origin politikasıdır. Her bir kaynağın kendine ait olan DOM nesneleri vardır. Bir kaynaktan öbürüne olan erişimlerde DOM mimarisi sayesinde kısıtlamalar getirilmiştir. Tarayıcılar protokol, domain ve port bilgileri ile sitelere ulaşırlar. Bu bilgiler ile oluşturulan adrese origin denir.

http://abc.com:80

Sayfalar ancak aynı origin’e sahip iseler, birbirlerinin kaynaklarına erişebilirler. Opera, firefox, safari ve chrome protokol, domain ve port bilgisi ile sayfalar arası izinleri takip eder. Explorer port kontrolü yapmaz. Bir server düşünelim, 8080 portunda bir site var ve 445 portunda farklı bir site var. Sitelerden birinde bile zafiyet bulup içeri girildiğinde explorer ile diğer portlardaki sitelere erişilebilir. Bu sebeple explorer güvenli değildir.