사전지식

SOP

SOP란?

Same Origin Policy란 뜻으로, 다른 출처의 리소스를 사용하는 것에 제한하는 보안 방식입니다.

• Same Origin Policy란? 2011년 RFC 6454에서 등장한 **보안 정책**으로, 동일한 출처의 Origin만 리소스를 공유할 수 있다는 의미이다.
• URL의 **Protocol, Host, Port를 통해 같은 출처인지 다른 출처인지 판단**할 수 있는데, 이 때 3가지 값 중 단 하나라도 다르면 다른 출처라고 판단한다.
  • 예를 들어, **https://localhost**와 동일한 출처 url을 무엇인지 찾아보시오
    • http://localhost (protocol이 다르기 때문에)
    • https://localhost:80 (localhost의 기본 포트는 80포트이므로 앞서 생략되었
    • https://127.0.0.1
      • localhost가 127.0.0.1이긴 하지만, 브라우저 입장에서는 이걸 **String value를 서로 비교**한다고 한다. 그렇기에 브라우저는 localhost ≠ 127.0.0.1로 판단
    • https://localhost/make/money (Protocol, Host, Port가 같으므로)

SOP 위배

1. 사용자가 페이스북에 로그인 👉 인증토큰을 받는다
2. 해커는 사용자에게 http://hacker.ck 링크를 보낸다
3. 사용자는 http://hacker.hk 링크를 누른다 👉 자신의 페이스북 인증 토큰을 약탈당한다
4. 해커는 스크립트 안 명령과 방금 약탈한 사용자 토큰과 함께 이용해 페이스북 포스트 게시 요청을 한다.
5. 페이스북은 자신의 Origin(https://www.facebook.com/)과Origin(http://hacker.ck)가 서로 다른 출처임을 판단한다👉 Cross Origin👉 SOP에 위반된다👉 해당 요청을 받아들이지 않는다.

Origin

Origin이란? 해당 페이지에서 말하는 Origin이란, 요청이 시작된 서버의 위치를 나타내는 문구이다. 아래 예시를 통해 보자

• 여기는 Client 서버와 리소스 Response API 서버가 있다고 해보자.
• 이 2개의 IP는 서로 다른 IP의 번호를 갖고 있는데, Client 서버는 https://jjong0416:80 이라고 하고, 리소스 서버는 https://resource.8123 이라고 해보자.
• 그럼 여기서 Client 서버는 로그인 서버에게 HTTP 요청을 보낼 때 Origin이 다르다고 한다.
• 같은 IP라면 Same Origin(서버 내부 통신), 다른 IP라면 **Cross Origin**이라고 한다.