У меня есть путаница в отношении той же политики происхождения (SOP).Путаница в отношении той же политики происхождения (sop) и защиты csrf
Например, http://bad.com/bad.html
с bad.js
и http://good.com/good.html
с good.js
. Я открываю оба URL-адреса в моем хроме с двумя вкладками (tab1 и tab2).
В good.html (открыт в tab2), есть элемент <input id="token-id" type='text' name='token' value='123abc'>
Теперь вопрос если нет СОП, будь то можно прочитать элемент input
значение из bad.html (открыта в tab1) с кодом document.getElementById('token-id').value()
в bad.js
.
Другой вопрос: , если ответ на этот вопрос «нет», я не могу понять это предложение в wiki https://en.wikipedia.org/wiki/Same-origin_policy#Security_Concerns.
Что касается отправки новых сделок, даже защиты CSRF банковского сайта не имеет никакого эффекта, потому что сценарий может просто сделать то же самое, как пользователь будет делать
Поскольку мы не можем получить токен csrf. почему это не работает. Сервер может вычислять реальный пост-запрос, проверяя токен csrf.
Не понимаю ли я защиту csrf или SOP?
Спасибо, если кто-нибудь может помочь мне разобраться в этой путанице.
«любой запрос, указывающий на good.com, будет заблокирован» - не соответствует действительности. Только сложные запросы будут заблокированы. Простые запросы пройдут, но ответ будет отклонен JS. – Quentin
@Pablo Прежде всего, большое спасибо. Соответствуют ли соответствующие вкладки одной вкладке, открываемой другой вкладкой через функцию 'window.open'? –
@VincentQuu Да, вот и все. –