क्या कोई मेरी उत्पत्ति नीति को बेहतर ढंग से समझने में मेरी सहायता कर सकता है। मैंने कई वेबसाइटों को इसका वर्णन किया है, लेकिन मैं एक स्पष्टीकरण की तलाश कर रहा हूं और अधिक सरल, आप इसे किसी बच्चे को कैसे वर्णन करेंगे?लेमन शर्तों में समान उत्पत्ति नीति
यह link मुझे मिली सबसे अच्छी नौकरी करने लगता है। क्या कोई विस्तार कर सकता है? क्या कोई यह समझा सकता है कि यह नीति क्यों मौजूद है?
CSRF को रोकने के लिए समान मूल नीति की आवश्यकता है। इस परिदृश्य की कल्पना करें:
var xhr = new XMLHttpRequest(),
data = "from="+victimAccount
+ "&to="+jacksAccount
+ "&amt=a+gazillion+dollars";
xhr.open("POST", "http://tbtfbank.tld/accounts/wiretransfer.aspx", true);
xhr.send(data);
और जैक हजारों खाता संख्याओं और पिनों या किसी अन्य जानकारी को फसल करने के लिए उसी तकनीक का आसानी से उपयोग कर सकता था जो बैंक प्रबंधक के पास अपने खाते के माध्यम से पहुंच है।
सौभाग्य से, वही मूल नीति हमें इस प्रकार के हमलों से अधिकतर समय से बचाती है, क्योंकि जैक के दुर्भावनापूर्ण पृष्ठ को बैंक एप्लिकेशन से अलग डोमेन पर होस्ट किया जाता है, इसलिए इसे बैंक आवेदन में एक्सएचआर बनाने की अनुमति नहीं है।हालांकि दुर्भावनापूर्ण पृष्ठ में अभी भी एक छवि हो सकती है जो बैंक आवेदन के लिए एक GET अनुरोध करता है, इसलिए यह महत्वपूर्ण है कि साइड इफेक्ट्स के साथ क्रियाएं जीईटी अनुरोधों के माध्यम से शुरू नहीं की जाएंगी और एप्लिकेशन उन अनुरोधों के संदर्भकर्ता शीर्षलेख की जांच करते हैं जो उन्हें प्राप्त होते हैं और एंटी- सीएसआरएफ टोकन
+1, यह सीएसआरएफ का एक अच्छा उदाहरण है। इसके अलावा, यह Google/" –
पढ़ने के बाद Google" नेटली पोर्टमैन गर्म ग्रिट में शामिल क्यों हुआ "यह वही है जो मैं उम्मीद कर रहा था। बहुत बहुत धन्यवाद! – GK1667
असल में इसका अर्थ है - केवल उसी स्क्रिप्ट से सेवा की जाने वाली स्क्रिप्ट्स एक दूसरे के ऑब्जेक्ट्स और गुणों को प्रतिबंध के बिना एक्सेस कर सकती हैं (इसलिए यदि आपके पास नामित फ़ंक्शंस वाले .js फ़ाइल है, तो आप इसे होस्ट की गई किसी अन्य फ़ाइल से कॉल कर सकते हैं एक ही डोमेन)।
इसलिए, यदि आप एक अलग डोमेन प्रतिबंध से एक स्क्रिप्ट परोस रहे हैं लागू करते हैं।
यह नीति मौजूद है क्योंकि किसी जावास्क्रिप्ट फ़ाइल के लिंक को इंजेक्ट करना बहुत आसान है (कुछ जावास्क्रिप्ट कोड कहें जो ऐसी फ़ाइल के लिंक को इंजेक्ट करता है) जो एक अलग डोमेन पर है। यह एक सुरक्षा जोखिम है - आप वास्तव में केवल उस कोड से आते हैं जो उस साइट से आता है जिसे आप निष्पादित करने के लिए करते हैं और न कि वहां मौजूद कोई भी कोड।
'एक ही डोमेन से सेवा की जाने वाली केवल स्क्रिप्ट एक-दूसरे की ऑब्जेक्ट्स तक पहुंच सकती हैं। फिर, आप सीडीएन से jQuery क्यों शामिल कर सकते हैं और इसे अपने पृष्ठ पर डीओएम एक्सेस कर सकते हैं? –
@ रॉकेट: सही। यह उस पेज का डोमेन है जहां स्क्रिप्ट निष्पादित करता है, जहां जेएस फ़ाइल होस्ट की जाती है। वास्तव में, 'सीओआरएस' मानकीकृत होने से पहले, [JSONP] (http://en.wikipedia.org/wiki/JSONP) यह था कि आपने क्रॉस-डोमेन AJAX अनुरोध कैसे किए हैं, जो मूल रूप से ऑफ-साइट जेएस फ़ाइल से लिंक होते हैं किसी अन्य डोमेन से डेटा प्राप्त करने का तरीका (JSON रूप में)। –
क्या आपने [विकिपीडिया] (http://en.wikipedia.org/wiki/Same-origin_policy) की कोशिश की है? –
हां, मुझे इसे स्वीकार करने से नफरत है, लेकिन मैं अभी भी इसके बारे में उलझन में हूं। और मुझे कोई स्पष्ट कारण नहीं मिल रहा है कि यह नीति क्यों मौजूद है – GK1667
सीएसआरएफ के बारे में पढ़ने का प्रयास करें। इसीलिए। – Oded