저는 지속성 및 비 지속성에 대해 잘 알고 있습니다 XSS. 또한 하나의 웹 사이트 페이지에서 발생한 요청이 다른 웹 사이트 서버로 이동하지 못하도록 차단/제한하는 것에 대해 Same origin policy에 대해 알고 있습니다. 이로 인해 동일한 원산지 정책이 최소 영구 저장 유형의 XSS 공격을 막을 수 있다고 생각하게되었습니다. 지속적인 유형의 공격에서 악성 코드 출처는 도난당한 개인 정보와 동일하기 때문입니다. 내 이해가 맞습니까? SOP를 사용하여 이러한 공격을 중지/축소 할 수 있습니까?크로스 사이트 스크립팅 공격 및 동일한 출처 정책
편집 : 브라우저 측에서 2 개의 스크립트 사이에서 메소드를 호출하고 다른 웹 사이트에서 HTTP POST와 같은 메소드를 호출하는 데는 혼란 스러웠습니다. 대답 jakber 주셔서 감사합니다.
지금 다른 질문이 있는데, SOP로는 Cross-site request forgery을 예방할 수 없습니까? wikipedia에서 제공 한 예제는 Bob이 채팅 포럼에서 Mallory가 만든 악성 이미지 태그에 액세스하는 것에 대해 이야기합니다. 그러나 SOP 규칙에 따라 악성 스크립트는 은행의 쿠키에 액세스 할 수 없어야합니다. 내가 여기서 뭔가를 놓치고 있니?
에 GET 및 POST 요청을 보낼 웹 사이트 A를 방지하지 않기 때문에
CSRF를 들어, SOP는 대부분의 경우에 그것을 막을 수 없습니다. 브라우저에 항상 적용되므로 불행히도 CSRF를 중단하지는 않습니다. 미래에는 CSP와 같은 것이 공격을 막을 수는 있지만 현재 토큰 기반 접근법이 CSRF를 피하는 가장 좋은 방법입니다. – Erlend