CSRF و CORS وسياسة المنشأ نفسه: صراع أمني للمتصفحات
2025-03-02
تتناول هذه المقالة آليات أمان الويب لـ CSRF (تزوير طلبات الموقع المُتَقاطِع) و CORS (مشاركة الموارد عبر المنشأ). وعلى الرغم من ارتباط كليهما بطلبات المواقع المُتَقاطِعة، إلا أن وظائفهما وآلياتهما تختلف اختلافًا كبيرًا. بشكل افتراضي، تُطبق المتصفحات سياسة المنشأ نفسه، مما يقيد الكتابة عبر المواقع، لكنه يسمح بالقراءة عبر المواقع. يستغل CSRF ثغرات هذه السياسة، بينما يوفر CORS آلية للسماح بطلبات مواقع مُتَقاطِعة محددة. تحلّل المقالة تأثير سمة SameSite على CSRF، والدور الحاسم للمتصفحات في بنية الأمان الشاملة، وتلاحظ أن اعتماد المتصفحات لافتراضي SameSite=Lax سيؤثر بشكل مباشر على أمان الإنترنت.
التطوير
أمان الويب