Quelle est la politique de même origine?
La politique d'origine (SOP) est un périphérique de sécurité pour certains types d'applications de navigateur sur Internet. Lorsque vous utilisez un ordinateur sur un réseau à grande échelle tel qu'Internet, la possibilité d'attaques de pirates informatiques et d'autres entités malveillantes est considérablement accrue par rapport à l'utilisation de réseaux plus petits et isolés. La même politique d'origine agit pour valider les scripts exécutés sur des sites Web, empêchant les pirates d'établir une connexion avec un ordinateur sous des paramètres frauduleux. Les scripts sont simplement des programmes ou des applications nécessaires au fonctionnement du site Web.
Lors de la connexion à un site Web, la connexion est établie via des "ports" sur l'ordinateur. Le nom est assez descriptif; les ports sont ouverts ou fermés en fonction des circonstances, seuls les ports ouverts étant vulnérables aux attaques. Lorsqu'un site Web demande une connexion de port spécifique à l'ordinateur, celui-ci est exposé à un certain degré de risque. Tant que le port reste ouvert, d'autres personnes et programmes en ligne peuvent tenter de "se connecter" à l'ordinateur via cette vulnérabilité. D'autres personnes et programmes peuvent également essayer de se faire passer pour le site Web, demandant à l'ordinateur d'ouvrir également d'autres ports.
C’est là que la même stratégie d’origine entre en jeu. Considérez la même stratégie d’origine comme un type d’interrogation virtuelle constante entre le site Web demandant le port ouvert et un ordinateur. Le site Web doit constamment "prouver" qu'il est bien l'identité de qui et ce qu'il dit, empêchant ainsi les autres de participer et de tirer avantage de la connexion ouverte qui se trouve sur l'ordinateur. Une politique d'origine identique ne permet l'exécution de scripts que dans la mesure où ils proviennent du site Web prévu, satisfaisant ainsi aux "questions" posées par la procédure d'exploitation standard.
Pour vérifier cela, la même stratégie d'origine vérifie trois éléments: le nom de domaine, le protocole de la couche d'application et les numéros de port spécifiques du document ou du site Web exécutant le script. Le nom de domaine est le nom spécifique du site. Il est généralement précédé du préfixe "www." Le protocole de couche application est la méthode de connexion. Par exemple, HTTP (HyperText Transfer Protocol) ou FTP (File Transfer Protocol). Enfin, le numéro de port est le numéro spécifique du port par lequel la connexion est établie. Si ces trois choses sont vérifiées, le script s'exécute; sinon, la SOP l'empêche de fonctionner.
Comme tout ce qui implique des ordinateurs, SOP n'est pas infaillible. Certains types d’attaques de piratage, tels que la reliure du serveur de noms de domaine et les procurations, permettront à un site frauduleux de se faire passer pour un site légitime. C’est pourquoi SOP ne devrait être considéré que comme une ligne de défense contre les menaces en ligne.