728x90
SOP란?
<script></script>안 같은 Origin 내에서의 HTTP Reqeust/Response의 경우에서만 허용하는 browser 정책이다.
같은 IP와 Port 끼리의 HTTP Request/Response의 경우에만 SOP정책에 허용된다.
SOP가 필요한 이유
iframe 을 이용한 공격을 방어하는데 사용될 수 있다.
해커가 심어둔 iframe을 이용한 구글 로그인 화면이 들어있는 악의적인 화면이 있다고 가정하자
피해자는 해당 로그인 화면이 해커가 공격코드를 심어둔 악의적인 화면인지 알수있는 방법이 없다. 피해자는 해당 로그인 화면에서 로그인을 진행할 것이다.
만약 sop 가 없다면 악의적인 화면에서 구글 로그인이 성공하게되고 실시간으로 피해자의 신상, 메일 정보 등이 해커에게 전송될 수 있다.
sop가 있다면 애초에 iframe 으로 심어둔 구글 로그인이 성공할 수 없게 되고 공격으로부터 안전할 수 있다
SOP 우회 방법
- JSONP (Backend) -> Not Recommended
- Proxy (Frontend, new Backend(proxy server)) -> browser에게 눈속임
proxy with proxy server - CORS (Backend) -> 가장 보편적으로 사용한다.
'Security & Errors' 카테고리의 다른 글
| Cross-site Request Forgery ( CSRF or XSRF ) (0) | 2020.12.07 |
|---|