私は同じオリジン政策を愛することを学びました
今年、私はNoam Rosenthalと協力して、新しいWebプラットフォーム機能の標準化である画像のサイズと解像度を動的に調整しました。成功!しかし、旅は急な学習曲線でした。
ブラウザのフィードバックや予期せぬ技術的ハードルなどの課題を予想していましたが、Webセキュリティとプライバシーの原則への影響を過小評価していました。これらの原則についての私の事前の理解は不十分でした。
私たちの目標は、画像のデフォルトの表示サイズを変更することでした。デフォルトでは、800x600の画像は800x600 CSSピクセルをレンダリングします。これは、デフォルトの密度が1倍の固有のサイズ(または自然サイズ)です。
CSSまたはHTMLを使用して高度、低密度、または可変密度の画像を提供するときに課題が生じました。これは、私の雇用主であるCloudinaryのような画像ホストの一般的なニーズです。
私たちの解決策:
- 画像リソース内でメタデータを読み取り、適用して、意図した表示サイズと解像度を宣言します。
- このメタデータに対するデフォルトのブラウザの尊重。CSS(
image-resolution)またはマークアップ(srcsetのx記述子)を介して過剰に配慮します。
これは健全に思えました - 柔軟で既存のパターンに基づいて構築されました。しかし、HTML SPECエディターのAnne Van Kesterenは、同性政策(SOP)の違反を引用して、それを拒否しました。画像の向きも再評価する必要がありました。 CSS/HTMLを介してExifメタデータ効果を切り替える機能は、SOPに違反しました。
SOPの最初の理解は、CORSエラーに限定されていました。今、それは主要なプロジェクトを妨げていました。私は学ばなければなりませんでした!
私の重要なテイクアウト:
- SOPは単一のルールではなく、CORSエラーだけでもありません。
- それは進化する哲学であり、一貫性のない哲学です。
- 中核の原則は、Webセキュリティとプライバシーの境界がOriginsによって定義されることです。共有起源は、無制限の相互作用を意味します。それ以外の場合、制限が適用されます。
- 多くのオリジン相互作用が許可されています。通常、Webサイトは、Origins(投稿要求)を越えて書き込み、クロスオリジンリソース(IFRAME、画像)を埋め込むことができます。ただし、JavaScriptでクロスオリジンリソースを読むには、明示的な許可(CORS)が必要です。
- 重要なことに、クロスオリジンの読み取りを防ぐと、ユーザーのプライバシーが保護されます。各ユーザーは、Cookieとローカルコンテキストの影響を受けたパーソナライズされたWebを見ます。ユーザーのブラウザを介してWebサイトが他のサイトからデータを読み取ることができるようにすることは、主要なセキュリティの欠陥です。
SOPは、主にオリジンの読み取りを防ぐことに関係しています。多くの場合、他のクロスオリジンアクションはデフォルトで許可されます。
画像サイズ/解像度の問題:
https://coolbank.com/hero.jpgを想像して、ユーザーログインステータスに基づいてさまざまなコンテンツを返します。ログインバージョンにはEXIF解像度の情報が含まれている場合がありますが、ログアウトバージョンは含まれていません。悪意のある俳優は、この画像を埋め込み、本質的なサイズ(Exifの有無にかかわらず)を確認し、ログインステータスを推測し、フィッシング攻撃を開始する可能性があります。
(CORSによる)ピクセルデータにアクセスしていない間、俳優はOriginsを超えて情報を獲得します - 違反。
私たちの解決策:クロスオリジンのコンテキストでは、exifの変更が常に適用され、情報を読み取れません。 Exif指定サイズの画像は、CSSオーバーライドに関係なく、そのサイズに応じて常にレンダリングされます。
SOPの理解により、他のWebセキュリティの概念が明らかになりました。
- クロスサイトリクエストフォーファリー(CSRF)は、クロスオリジンの書き込みのデフォルト手当を悪用します。
- コンテンツセキュリティポリシー(CSP)が許可された埋め込みを制御し、クロスサイトスクリプト(XSS)の脆弱性に対処します。
- COOP、Coep、Corp、およびCorbは、オリジン相互作用を排除し、SOPの実装における矛盾に対処し、Specterのような脆弱性を軽減することを目指しています。
要するに:
- Webセキュリティとプライバシーは、オリジンベースの相互作用制限に基づいて堅牢です。
- クロスオリジンの読み取りは、デフォルトではユーザーのプライバシーを保護するために禁止されています。
- SOP抜け穴は、どんなに小さくても、セキュリティリスクです。
私の2020年の経験は、SOPの重大な重要性と、厳しいWebセキュリティプラクティスの必要性を強調しました。より安全で安全な未来には、これらの原則を揺るぎない防御が必要です。
以上が私は同じオリジン政策を愛することを学びましたの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。
ホットAIツール
Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ
AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。
Undress AI Tool
脱衣画像を無料で
Clothoff.io
AI衣類リムーバー
Video Face Swap
完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。
人気の記事
ホットツール
メモ帳++7.3.1
使いやすく無料のコードエディター
SublimeText3 中国語版
中国語版、とても使いやすい
ゼンドスタジオ 13.0.1
強力な PHP 統合開発環境
ドリームウィーバー CS6
ビジュアル Web 開発ツール
SublimeText3 Mac版
神レベルのコード編集ソフト(SublimeText3)
ホットトピック
1667
14
1426
52
1328
25
1273
29
1255
24
SASSをより速くするための概念の証明
Apr 16, 2025 am 10:38 AM
新しいプロジェクトの開始時に、SASSコンピレーションは瞬く間に起こります。これは、特にbrowsersyncとペアになっている場合は素晴らしい気分です。
毎週のプラットフォームニュース:HTMLロード属性、主なARIA仕様、およびIFRAMEからShadowDOMへの移動
Apr 17, 2025 am 10:55 AM
今週のプラットフォームニュースのラウンドアップで、Chromeは、Web開発者のロード、アクセシビリティ仕様、およびBBCの動きのための新しい属性を導入します
HTMLダイアログ要素を使用したいくつかの実践
Apr 16, 2025 am 11:33 AM
これは私が初めてHTML要素を見ていることです。私はしばらくの間それを知っていましたが、まだスピンしていませんでした。かなりクールです
ペーパーフォーム
Apr 16, 2025 am 11:24 AM
購入またはビルドは、テクノロジーの古典的な議論です。自分で物を構築することは、あなたのクレジットカードの請求書にはラインアイテムがないため、安価に感じるかもしれませんが
「ポッドキャストにサブスクライブ」リンクはどこにすべきですか?
Apr 16, 2025 pm 12:04 PM
しばらくの間、iTunesはポッドキャストの大きな犬だったので、「ポッドキャストにサブスクライブ」をリンクした場合:
それはすべて頭の中にあります:Reactヘルメットを使用してReact Poweredサイトのドキュメントヘッドを管理する
Apr 15, 2025 am 11:01 AM
ドキュメントヘッドはウェブサイトの中で最も魅力的な部分ではないかもしれませんが、それに入るものは間違いなくあなたのウェブサイトの成功にとってそれと同じくらい重要です
独自の非JavaScriptベースの分析をホストするためのオプション
Apr 15, 2025 am 11:09 AM
サイトの訪問者と使用データを追跡するのに役立つ分析プラットフォームがたくさんあります。おそらく、特にGoogleアナリティクスが広く使用されています
