동일출처 정책 개요
- 동일출처정책(Same Origin Policy, 줄여서 SOP) 이란 한 출처(origin)에서 로드된 스크립트(주로 자바스크립트)가 다른 출처의 자원과 상호작용하지 못하도록 제약하는 정책이다.
- 웹 페이지는 기본적으로 다른 출처(크로스오리진)의 이미지, 스타일시트, 스크립트, iframe, 동영상을 자유로이 임베드할 수 있다.3
- 동일출처정책이 막는 것은 자바스크립트가 다른 출처의 HTTP응답에 접근하는 것이다. 자바스크립트가 다른 출처로 HTTP 요청을 하는 것 자체는 가능하다.
동일출처를 판단하는 기준
- 동일한 출처(Same Origin)라는 것은 무엇을 의미하는가?
- 어떤 두 URL의 프로토콜(URI 스킴), 호스트, 포트의 세 가지가 같으면 동일출처로 간주한다.
기타
- XSS같은 공격은 동일출처정책을 우회하는 공격이다. (XSS 스크립트가 실행되는 사이트 내에서는 동일출처이기 때문에 스크립트가 동작하는 원리이다. )