我已经研究并知道相同来源策略(SOP)是浏览器处理的基于客户端的策略。服务器负责向浏览器发送列表allow-origin,浏览器用当前来源检查它,然后决定是否读取响应。也许某些情况下浏览器会发送预检请求进行检查。但是所有这些都是浏览器(客户端)的工作。服务器仍然从其他域接收请求并执行该请求,然后发送响应。而且SOP无法用于来自其他服务器的请求(服务器到服务器的请求),来自POSTMAN的请求...因此,我认为服务器对于SOP仍然是不安全的。
任何人都可以对此进行解释。谢谢。
答案 0 :(得分:1)
当然Same Origin Policy的存在并不意味着服务器不受攻击。 SOP是一种非常具体的保护,可在浏览器的特定上下文中运行。即使使用SOP和正确使用CORS,例如,您仍然需要Cross-Site Request Forgery保护。而且您仍然容易受到攻击者可以利用的服务器错误的攻击。依此类推。
SOP用于防止浏览器中运行的代码从其他域读取数据。就是这样。