imported>Ephraim33: Linkfix (Clientseitige Skriptsprachen → Client Side Scripting#Programmiersprachen)

2025-05-16T17:23:42Z

Linkfix (Clientseitige Skriptsprachen → Client Side Scripting#Programmiersprachen)

Neue Seite

Die '''Same-Origin-Policy''' ('''SOP'''; {{deS|„''Gleiche-Herkunft-Richtlinie''“}}) ist ein [[Sicherheitskonzept]], das [[Client Side Scripting#Programmiersprachen|clientseitigen Skriptsprachen]] wie [[JavaScript]] und [[ActionScript]], aber auch [[Cascading Style Sheets]] untersagt, auf Objekte (zum Beispiel Grafiken) zuzugreifen, die von einer anderen Webseite stammen oder deren Speicherort nicht der ''Origin'' entspricht. Sie stellt ein wesentliches Sicherheitselement in allen modernen [[Browser]]n und [[Webanwendung]]en zum Schutz vor Angriffen dar.

== Geschichte ==
Die Same-Origin-Policy wurde 1996 von [[Netscape Communications|Netscape]] mit JavaScript in [[Netscape Navigator]] 2.0 eingeführt.<ref>[http://sillydog.org/netscape/verinfo.php Netscape Browser Archive]. Abgerufen am 12. Oktober 2008.</ref> Sie wurde von anderen Herstellern in deren JavaScript-Implementierungen bzw. proprietären Skriptsprachen, etwa [[JScript]], übernommen.

== Hintergrund ==
Den Hintergrund für die große Bedeutung der SOP bildet im Wesentlichen die Kombination aus zwei Tatsachen:

* Skriptsprachen im Browser haben über das [[Document Object Model]] (DOM) direkten Zugriff auf die gesamte Kommunikation zwischen Browser und [[Webserver]]. Dies beinhaltet sowohl das Auslesen als auch die Manipulation von Daten und betrifft neben dem Empfangen auch das Senden von Daten.
* Das Vertrauensverhältnis zwischen Browser (bzw. Anwender) und verschiedenen Webseiten kann extrem unterschiedlich sein.

Daraus ergibt sich die Anforderung, dass keine Informationen aus einem Kontext (zum Beispiel der Verbindung des Browsers zu der Seite einer Bank) von einem Skript aus einem anderen Kontext zugreifbar oder manipulierbar sein dürfen. Um dies zu erreichen, wird beim Zugriff eines Skriptes auf ein Objekt einer Webseite die Herkunft (origin) von beiden verglichen.

== Vergleich der Herkunft (origin) ==
Als Herkunft wird dabei die Kombination aus [[Kommunikationsprotokoll|Protokoll]] (zum Beispiel [[HTTP]] oder [[HTTPS]]), [[Domain (Internet)|Domain]] und [[Port (Netzwerkadresse)|Port]] in der [[URL]] definiert. Nur wenn alle drei gleich sind, gilt die SOP als erfüllt und der Skript-Zugriff ist möglich.

=== Beispiele ===
Ein in der Datei '''<nowiki>http://www.example.com/dir/page.html</nowiki>''' eingebettetes Skript versucht, auf ein Element in den folgenden Seiten zuzugreifen:

{| class="wikitable"
|-
! angesprochene URL
! Ergebnis
! Grund
|-
| '''<nowiki>http://www.example.com</nowiki>'''/dir/page2.html
| {{Yes|Success}}
| selbes Protokoll, Host und Port
|-
| '''<nowiki>http://www.example.com</nowiki>'''/dir2/other.html
| {{Yes|Success}}
| selbes Protokoll, Host und Port
|-
|'''http://'''username:password@'''www.example.com'''/dir2/other.html
|{{Yes|Success}}
|selbes Protokoll, Host und Port
|-
| <nowiki>http://www.example.com</nowiki>:'''81'''/dir/other.html
| {{No|Failure}}
| selbes Protokoll und Host, aber anderer Port
|-
| '''https'''://www.example.com/dir/other.html
| {{No|Failure}}
| anderes Protokoll
|-
| http://'''en.example.com'''/dir/other.html
| {{No|Failure}}
| anderer Host
|-
| http://'''example.com'''/dir/other.html
| {{No|Failure}}
| anderer Host (genaue Übereinstimmung benötigt, hier ist eine Ausnahme möglich, s. u.)
|-
| http://'''v2.www.example.com'''/dir/other.html
| {{No|Failure}}
| anderer Host (genaue Übereinstimmung benötigt)
|-
| <nowiki>http://www.example.com</nowiki>:'''80'''/dir/other.html
| {{N/A}}
| Port eindeutig. Hängt von der Implementierung des Browsers ab.
|}

Eine Ausnahme bilden [[Subdomain]]s: Über eine spezielle DOM-Eigenschaft kann zum Beispiel ein Skript aus der Domain www.example.com den Kontext auf die übergeordnete Domain example.com setzen und damit auf Objekte dieser Domain zugreifen. Das gilt trotzdem nicht für den Zugriff auf andere Subdomains.<ref>Mozilla: ''{{Webarchiv|url=https://developer.mozilla.org/En/Same_origin_policy_for_JavaScript |wayback=20081014022433 |text=Same origin policy for JavaScript |archiv-bot=2023-01-05 18:23:13 InternetArchiveBot }}''. Abgerufen am 12. Oktober 2008.</ref>

== Grenzen und Probleme ==
Die Grenzen der Same-Origin-Policy sind in zweierlei Hinsicht von Bedeutung:

* Die SOP ist als Sicherheitsmechanismus nicht ausreichend wirksam. Viele aktuelle Angriffsmethoden wie [[DNS Rebinding]] und [[Cross-Site-Request-Forgery]] zielen erfolgreich darauf ab, die SOP zu umgehen.
* Andererseits sind die von der SOP gezogenen Grenzen in vielen Fällen unerwünscht. Insbesondere mit dem Aufkommen von [[Ajax (Programmierung)|Ajax]]-basierenden Anwendungen und [[Mashup (Internet)|Mashups]] gibt es legitimerweise den Wunsch, die Grenzen der SOP zu überschreiten. Eine Möglichkeit bietet das [[Cross-Origin Resource Sharing]] (CORS), das es einem Server erlaubt, gezielt zu bestimmen, welche Seiten trotz ihrer fremden Herkunft Zugriff auf die Antwort haben sollen. CORS muss vom Browser explizit unterstützt werden. CORS wird von allen relevanten Browsern unterstützt<ref>{{Internetquelle |url=https://developer.mozilla.org/de/docs/Web/HTTP/CORS |titel=Cross-Origin Resource Sharing (CORS) - HTTP {{!}} MDN |sprache=en-US |abruf=2022-01-05}}</ref>.

== Siehe auch ==
* [[Cross-Site-Scripting]] (XSS)

== Einzelnachweise ==
<references />

== Quellen ==
* Daniel Bachfeld: ''[https://www.heise.de/security/artikel/Einfallstor-Browser-270092.html Dunkle Flecken, Neuartige Angriffe überrumpeln Webanwender]''. Heise Security.

[[Kategorie:IT-Sicherheit]]
[[Kategorie:Webbrowser]]
[[Kategorie:JavaScript]]

Same-Origin-Policy - Versionsgeschichte

imported>Ephraim33: Linkfix (Clientseitige Skriptsprachen → Client Side Scripting#Programmiersprachen)