RFC 6454 - Das Web-Origin-Konzept (The Web Origin Concept)
Veröffentlichungsdatum: Dezember 2011
Status: Standards Track
Autor: A. Barth (Google, Inc.)
Zusammenfassung (Abstract)
Dieses Dokument definiert das Konzept eines „Origin (Ursprung)", das häufig als Umfang von Autorität oder Privileg durch User Agents verwendet wird. Typischerweise isolieren User Agents Inhalte, die von verschiedenen Origins abgerufen wurden, um zu verhindern, dass böswillige Website-Betreiber den Betrieb gutartiger Websites stören. Zusätzlich zur Darstellung der Prinzipien, die dem Origin-Konzept zugrunde liegen, beschreibt dieses Dokument detailliert, wie der Origin eines URI bestimmt wird und wie ein Origin in einen String serialisiert wird. Es definiert auch ein HTTP-Header-Feld namens „Origin", das angibt, welche Origins mit einer HTTP-Anfrage verbunden sind.
Inhaltsverzeichnis (Table of Contents)
- 1. Einführung
- 2. Konventionen
- 2.1 Konformitätskriterien
- 2.2 Syntaxnotation
- 2.3 Terminologie
- 3. Prinzipien der Same-Origin-Policy
- 3.1 Vertrauen
- 3.2 Origin
- 3.3 Autorität
- 3.4 Policy
- 3.5 Schlussfolgerung
- 4. Origin eines URI
- 5. Vergleichen von Origins
- 6. Serialisierung von Origins
- 6.1 Unicode-Serialisierung eines Origin
- 6.2 ASCII-Serialisierung eines Origin
- 7. Das HTTP-Origin-Header-Feld
- 7.1 Syntax
- 7.2 Semantik
- 7.3 User-Agent-Anforderungen
- 8. Sicherheitsüberlegungen
- 8.1 Abhängigkeit von DNS
- 8.2 Unterschiedliche Isolationseinheiten
- 8.3 Umgebende Autorität
- 8.4 IDNA-Abhängigkeit und Migration
- 9. IANA-Überlegungen
- 10. Referenzen
- 10.1 Normative Referenzen
- 10.2 Informative Referenzen
Anhänge (Appendices)
Verwandte Ressourcen
- Offizieller Text: RFC 6454
- Offizielle Seite: RFC 6454 DataTracker
- Errata: RFC Editor Errata