7
एक ब्राउज़र एक्सटेंशन को देखते हुए जो एक वेबपृष्ठ से पूरी तरह से अलग सर्वर पर जानकारी भेजता है, क्या यह वही मूल नीति का उल्लंघन कर रहा है?समान उत्पत्ति नीति ब्राउज़र एक्सटेंशन पर कैसे लागू होती है?
A
उत्तर
7
समान मूल नीति (एसओपी) सामान्य वेब पृष्ठों पर लागू होती है, ब्राउज़र एक्सटेंशन नहीं, भले ही वे जावास्क्रिप्ट में लिखे जाएं। जब एक्सटेंशन कोड किसी सर्वर से उत्पन्न नहीं होता है तो "अलग सर्वर" का क्या अर्थ होता है? (एक्सटेंशन स्क्रिप्ट में chrome-extension://longhashidentificationstr जैसे किसी प्रकार की ऑर्गिन हो सकती है, लेकिन पारंपरिक डोमेन/मूल नहीं है।) के साथ संवाद करने के लिए वेब पेज (जिनके पास CORS headers है) को छोड़कर, एक्सटेंशन को एसओपी द्वारा बाध्य नहीं किया जा सकता है।
एक्सटेंशन एसओपी का बिल्कुल "उल्लंघन" नहीं करते हैं; इसके बजाय, एसओपी उन पर लागू नहीं होता है। एसओपी को क्षतिग्रस्त या दुर्भावनापूर्ण वेब पेज के कारण होने वाली क्षति को सीमित करने के लिए डिज़ाइन किया गया है। एक पृष्ठ को देखने के लिए पृष्ठ में शून्य ट्रस्ट की आवश्यकता होनी चाहिए, क्योंकि वेब पेज पर जाना इतना आसान है। हालांकि, एक एक्सटेंशन इंस्टॉल करना कुछ ऐसा होता है जो उपयोगकर्ता कम बार करते हैं और उपयोगकर्ता पर बड़ा प्रभाव पड़ता है, इसलिए एक्सटेंशन में कुछ ट्रस्ट की आवश्यकता के लिए अनुचित नहीं है।