완료됨
SOP 의 port에 관한 질문
프로토콜의 모든 구성요소가 일치 해야만 동일한 오리진으로 이라고 할 수 있다는데 어째서 path값이 달라도 same origin으로 인식이 되는지 궁금합니다. 또한 same origin으로 인식이 되닌까 동일한 오리진으로 인식이 되어 해당 사용자의 정보를 넘볼 가능성 또한 존재하는지도 궁금합니다.
이제 보니 path값은 오리진의 구성요소에 속하지 않다는 점을 발견했네요.
#웹해킹
작성자 정보
답변
1
03sunf
워게임: 50
rfc6454 문서를 확인할 경우 Origin의 구성요소는 3가지로 나뉘며 Scheme, Hostname, Port로 정의되어 있으며 이는 표준입니다. Same Origin Policy는 위 3가지 구성요소 중 하나라도 일치하지 않을 경우에만 Cross Origin이 되는 것입니다.
http://naver.com/path1라는 URL을 예를들면 아래와 같이 구분할 수 있습니다.
scheme -> http
hostname -> naver.com
port -> 80
/path1의 경우 위 Origin이 가지고 있는 Resource의 경로일 뿐입니다🙃