나는 같은 원래 정책을 사랑하는 법을 배웠습니다

올해 저는 Noam Rosenthal과 새로운 웹 플랫폼 기능을 표준화하는 데 공동 작업을 수행했습니다. 이미지 크기 및 해상도를 동적으로 조정했습니다. 성공! 그러나 여행은 가파른 학습 곡선이었습니다.

브라우저 피드백과 예상치 못한 기술적 장애물과 같은 과제를 예상했지만 웹 보안 및 개인 정보 보호 원칙에 미치는 영향을 과소 평가했습니다. 이러한 원칙에 대한 나의 사전 이해는 충분하지 않았습니다.

우리의 목표는 이미지의 기본 표시 크기를 수정하는 것이 었습니다. 기본적으로 800x600 이미지는 800x600 CSS 픽셀로 렌더링됩니다. 이것은 기본 밀도가 1x 인 고유 크기 (또는 자연 크기)입니다.

CSS 또는 HTML없이 높은, 저 또는 가변 밀도 이미지를 제공 할 때 도전이 발생했습니다. 이것은 내 고용주 인 Cloudinary와 같은 이미지 호스트의 일반적인 요구입니다.

우리의 솔루션 관련 :

1. 브라우저는 이미지 리소스 내에서 메타 데이터를 읽고 적용하여 의도 된 디스플레이 크기 및 해상도를 선언합니다.
2. 이 메타 데이터에 대한 기본 브라우저 존중, CSS ( image-resolution ) 또는 마크 업 ( srcset 의 x 디스크립터)을 통해 우선 가능합니다.

이것은 유연하고 기존 패턴을 구축하는 소리처럼 보였습니다. 그러나 HTML 사양 편집자 인 Anne Van Kesteren은 동일한 원래 정책 (SOP)의 위반을 인용하면서이를 거부했습니다. 이미지 방향도 재평가가 필요했습니다. CSS/HTML을 통해 EXIF ​​메타 데이터 효과를 전환하는 기능은 SOP를 위반했습니다.

SOP에 대한 초기 이해는 CORS 오류로 제한되었습니다. 이제 주요 프로젝트를 방해하고있었습니다. 나는 배워야했다!

내 주요 테이크 아웃 :

• SOP는 단일 규칙이 아니며 CORS 오류에 관한 것도 아닙니다.
• 그것은 진화하는 철학이며, 일관되지 않게 구현되었습니다.
• 핵심 원칙은 웹 보안 및 개인 정보 보호 경계가 기원 에 의해 정의된다는 것입니다. 공유 원산지는 무제한 상호 작용을 의미합니다. 그렇지 않으면 제한이 적용됩니다.
• 많은 교차 오리핀 상호 작용이 허용됩니다. 웹 사이트는 일반적으로 원산지 (사후 요청)에 걸쳐 작성 하고 크로스 오리핀 리소스 (Iframes, Image)를 포함시킬 수 있습니다. 그러나 JavaScript에서 Cross-Origin 리소스를 읽으려면 명시 적 허가 (CORS)가 필요합니다.
• 크로스 오리핀 읽기 방지는 사용자 개인 정보를 보호합니다. 각 사용자는 쿠키 및 로컬 컨텍스트의 영향을받는 개인화 된 웹을 본다. 웹 사이트가 사용자의 브라우저를 통해 다른 사이트의 데이터를 읽을 수 있도록하는 것은 주요 보안 결함입니다.

SOP는 주로 크로스 오리진 읽기를 방지하는 데 관심이 있습니다. 다른 교차 아리 긴 행동은 종종 기본적으로 허용됩니다.

이미지 크기/해상도 문제 :

https://coolbank.com/hero.jpg 상상하여 사용자 로그인 상태에 따라 다른 콘텐츠를 반환합니다. 로그인 버전에는 EXIF ​​해상도 정보가 포함될 수 있지만 로그인 버전에는 그렇지 않습니다. 악의적 인 배우는이 이미지를 포함하고, 본질적인 크기 (EXIF 유무에 관계없이)를 확인하고 로그인 상태를 유추하고 잠재적으로 피싱 공격을 시작할 수 있습니다.

픽셀 데이터 (CORS로 인해)에 액세스하지는 않지만, 배우는 기원을 통해 정보를 얻습니다 - 위반.

우리의 해결책 : 교차-오리핀 맥락에서, EXIF ​​수정은 항상 적용되므로 정보를 읽을 수 없게 만듭니다. Exif 지정 크기의 이미지는 CSS 재정의에 관계없이 항상 해당 크기에 따라 렌더링됩니다.

SOP 이해 다른 웹 보안 개념을 명확히했습니다.

• CSRF (Cross-Site Request Grespory)는 Cross-Origin 쓰기 의 기본 허용량을 이용합니다.
• CSP (Content Security Policy) 컨트롤은 XSS (Cross-Site Scripting) 취약점을 해결하는 내용이 허용됩니다.
• Coop, Coep, Corp 및 Corb는 SOP 구현의 불일치와 Specter와 같은 취약점을 완화하는 데 불일치를 해결하는 교차 원근 상호 작용을 제거하는 것을 목표로합니다.

요컨대 :

• 원점 기반 상호 작용 제한을 기반으로 웹 보안 및 개인 정보 보호는 강력합니다.
• 크로스 오리핀 읽기는 기본적으로 사용자 개인 정보를 보호하기 위해 금지되어 있습니다.
• SOP 허점은 거의 없지만 보안 위험입니다.

2020 년의 경험은 SOP의 중요한 중요성과 엄격한 웹 보안 관행의 필요성을 강조했습니다. 더 안전하고 안전한 미래는 이러한 원칙에 대한 흔들리지 않는 방어가 필요합니다.

위 내용은 나는 같은 원래 정책을 사랑하는 법을 배웠습니다의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!