Sommaire

La sécurité des navigateurs et serveurs web

1. SOP, CORS

Pour introduire la sécurité des navigateurs, il est essentiel de parler de la Same Origin Policy (SOP) contenue dans tous les navigateurs récents.

La Same Origin Policy restreint la manière dont un script, image, vidéo ou iframe chargé depuis une origine peut interagir avec une autre origine.

Les deux origines correspondent si le protocole, le port et l’hôte sont identiques et peuvent donc communiquer. Voici un exemple avec l’URL : http://www.exemple.com/eni/page.html

URL

Validation

Description

http://www.exemple.com/eni/page2.html

Ok

Mêmes protocole, hôte et port

http://www.exemple.com/eni/sec/page3.html

Ok

Mêmes protocole, hôte et port

https://www.exemple.com/eni/page2.html

Non

Protocole différent

http://www.exemple.com:8080/eni/page2.html

Non

Port différent

http://exemple.com/eni/page2.html

Non

Hôte différent

images/02EP11.png

Le but de cette SOP est de protéger des scripts malicieux parfois placés volontairement ou involontairement dans une application web.

Imaginons une campagne de publicité Internet utilisée par des milliers de sites web infectés par du code malicieux. Il est très simple d’insérer une campagne publicitaire dans une page web car un script JavaScript suffit, par exemple :

<script async src="http://publicite.com/js/script.js"></script>

Dans notre exemple ci-dessus, le domaine est censé être de confiance mais ...