Azərbaycanca
Беларускі
Dansk
Deutsch
Española
Français
Indonesia
Italiana
日本語
Қазақ
Lietuvos
Nederlands
Português
Русский
සිංහල
แบบไทย
Türkçe
Українська
中國人
United State
Afrikaans
Aynı kök politikası web uygulamaları güvenlik modelinde önemli bir unsurdur. Bu politikaya göre, bir web tarayıcısı, bir web sayfasında yer alan betiklerin ikinci bir web sayfası üzerindeki veriye erişimine sadece bu iki sayfa aynı köke sahipse izin vermektedir. Bir kök, , ve bir kombinasyonu olarak tanımlanmaktadır. Bu politika, bir sayfada bulunan kötücül betiğin başka bir sayfada bulunan hassas verilere erişimini, o sayfanın Belge Nesnesi Modeli aracılığıyla engellemektedir.
Bu mekanizma, kimlik doğrulaması yapılmış kullanıcı oturumlarını yönetmek için yoğun bir şekilde HTTP çerezlerine dayanan modern uygulamalar için özel bir önem taşımaktadır. Bunun nedeni, sunucuların hassas bilgileri göndermek ve durum değiştiren aktiviteleri yapmak için HTTP çerez bilgilerine dayanmasıdır. Birbiri ile bağlantısı olmayan sitelerin sağladığı içerikler arasında betik ayırımı, gizlilik ve bütünlük açısından herhangi bir kayba neden olunmaması için istemci tarafında yapılmalıdır.
Tarihi
Aynı kök politikası kavramı 1995 yılındaki 'ye dayanmaktadır. Bu politika başlarda Belge Nesnesi Modeline (DOM) erişimi korumak için tasarlanmış olsa da, kök JavaScript nesnelerinin hassas kısımlarını koruyacak şekilde genişletilmiştir.
Uygulama
Bütün modern tarayıcılar, güvenlik açısından önemli bir temel taşı olduğu için bir şekilde Aynı Kök Politikası'nı uygulamaktadır. Bu politikalar kesin bir tanıma uymak zorunda değildir, ancak genelde Microsoft Silverlight, Adobe Flash veya Adobe Acrobat gibi diğer web teknolojileri için veya XMLHttpRequest gibi doğrudan DOM değişimi için olmayan diğer mekanizmalar için, kabaca uyarlanabilir güvenlik sınırları tanımlayacak şekilde genişletilmiştir.
Kök belirleme kuralları
bir URI'ye ait "kök" belirlenirken kullanılan algoritma 'ün 4. Kısmı'nda tanımlanmaktadır. Tam URI'ler için {protokol, host, port} üçlüsü köktür. Eğer URI bir isimlendirme otoritesi ( 3.2. Kısma bakınız) olarak hiyerarşik bir yapı kullanmıyorsa veya URI bir tam URI değilse, genel benzersiz tanımlayıcı (GUID) kullanılır. İki kaynak sadece ve sadece tüm bu değerler birebir aynı ise aynı kökten sayılmaktadır.
Örnek olarak, aşağıdaki tablo "http://www.example.com/dir/page.html" URL'i için yapılan kontrollerin sonuçlarını göstermektedir.
| Karşılaştırılan URL | Sonuç | Nedeni |
|---|---|---|
| http://www.example.com/dir/page2.html | Success | Aynı protokol, host ve port |
| http://www.example.com/dir2/other.html | Success | Aynı protokol, host ve port |
| http://username:password@www.example.com/dir2/other.html | Success | Aynı protokol, host ve port |
| http://www.example.com:81/dir/other.html | Failure | Aynı protokol ve host, ancak farklı port |
| https://www.example.com/dir/other.html[] | Failure | Farklı protokol |
| http://en.example.com/dir/other.html | Failure | Farklı host |
| http://example.com/dir/other.html | Failure | Farklı host (birebir eşleşmesi gerekmektedir) |
| http://v2.www.example.com/dir/other.html | Failure | Farklı host (birebir eşleşmesi gerekmektedir) |
| http://www.example.com:80/dir/other.html | Depends | Port açıkça yazılmış. Tarayıcı uygulamasına göre değişir. |
Diğer tarayıcıların aksine, Internet Explorer kök belirlemesinde port yerine Security Zone özelliğini kullanmaktadır.
Güvenlik Uygulamaları
Aynı kök politikası, kimlik doğrulaması yapılmış oturumları kullanan sitelerin korunmasına yardım etmektedir. Bahsedilecek örnek, aynı kök politikası olmadığında oluşabilecek olası güvenlik riskini örneklemektedir. Bir kullanıcının bir bankacılık uygulamasını kullandığını ve sonrasında çıkış yapmadığını varsayalım. Sonrasında kullanıcı, bankacılık sitesinden veri isteyen ve arka planda çalışan kötücül JavaScript kodu çalıştıran başka bir siteye gitmiştir. Kullanıcı bankacılık uygulamasında oturumunu kapatmadığı için, kötücül kod kullanıcının bankacılık sitesi üzerinde yapabileceği her şeyi yapabilmektedir. Örneğin, kullanıcının son işlemlerini listeleyebilir, yeni bir işlem yapabilir, vb. Bunun nedeni, tarayıcının bankacılık sitesinin alan adına bağlı olarak bankacılık sitesine oturum çerezlerini gönderebilmesi ve oturum çerezleri alabilmesidir.
Kötücül siteyi ziyaret eden kullanıcı, ziyaret ettiği sitenin bankacılık oturum çerezlerine erişemeyeceğini beklemektedir. JavaScript kodunun doğrudan bankacılık uygulaması çerezlerine erişiminin olmadığı doğru olsa da, yine de bankacılık sitesinin oturum çerezleri ile bankacılık sitesine istek gönderebilmekte ve bu siteden cevap alabilmektedir. Betik temelde kullanıcının yapabileceği her şeyi yapabildiği için, bankacılık sitesi tarafından uygulanan CSRF koruma yöntemleri bile faydasız olmaktadır.
Aynı kök politikasının esnetilmesi
Bazı durumlarda aynı kaynak politikası, birden fazla alt alan adı kullanan büyük web siteleri için çok kısıtlayıcı olarak problem oluşturabilmektedir. Aşağıda bu politikayı esnetmek için kullanılan bazı teknikler verilmiştir:
document.domain özelliği
Eğer iki pencere (veya çerçeve) alan adını aynı değer olarak belirleyen betikler içeriyorsa, bu iki pencere için aynı kök politikası esnetilir ve pencereler birbirleriyle haberleşebilir. Örneğin, orders.example.com ve catalog.example.com üzerinden yüklenen dokümanlardaki betikler, document.domain özelliklerini "example.com" olarak belirleyebilir ve böylece dokümanların aynı kökü paylaşmasını ve her bir dokümanın diğerinin özelliklerini okuyabilmesini sağlayabilirler. Bu, iç tarafta saklanan port değerinin null olarak işaretlenebilmesinden dolayı her zaman çalışmayabilmektedir. Başka bir deyişle, example.com port 80, document.domain özelliği güncellendiği için example.com port null olarak değişebilmektedir. Port null 80 portu gibi muamele görmeyebilir (tarayıcıya bağlı olarak) ve böylece geçersiz olabilir veya tarayıcıya bağlı olarak başarılı olabilir.
Kökler Arası Kaynak Paylaşımı
Aynı kök politikasının esnetilmesi için ikinci bir yöntem, Köklar Arası Kaynak Paylaşımı ismi ile standardize edilmiştir. Bu standart, HTTP protokolünü yeni Origin istek başlığı ve Access-Control-Allow-Origin cevap başlığı ile genişletmiştir. Bu, sunucuların bir başlık kullanarak bir dosyaya erişebilecek kökleri listelemesine veya özel bir karakter (*) kullanarak bir dosyayı herhangi bir sitenin erişimine açmasına izin vermektedir. Firefox 3.5, Safari 4 ve Internet Explorer 10 gibi tarayıcılar, aksi takdirde aynı kök politikası tarafından engellenecek olan XMLHttpRequest ile kökler arası HTTP isteklerine izin vermek için bu başlığı kullanmaktadır.
Dokümanlar arası mesajlaşma
Başka bir teknik olan dokümanlar arası mesajlaşma, bir sayfadaki betiğin betik köklerinden bağımsız olarak başka bir sayfadaki betiğe metinsel mesajlar göndermesine izin vermektedir. Bir Window nesnesi üzerinden postMessage() metodunun çağrılması, eşzamansız olarak o window nesnesi üzerinde bir "onmessage" olayı oluşturur ve kullanıcının tanımladığı olay işleyicileri tetikler. Bir sayfadaki betik, başka bir sayfadaki metot ve değişkenlere doğrudan erişemez, ancak bu mesaj gönderme mekanizması üzerinden güvenli bir şekilde haberleşebilirler.
JSONP
JSONP bir sayfanın, başka bir alan adından bir JSON cevabı yükleyen sayfaya <script> elemanının eklenmesi ile farklı bir alan adından JSON verisi almasına izin vermektedir.
WebSockets
Modern tarayıcılar, aynı kök politikasını uygulamaksızın bir betiğin bir WebSocket adresine bağlanmasına izin vermektedir. Ancak, bir WebSocket URI'sinin kullanıldığını anlamakta ve isteğe, bağlantıyı isteyen betiğin kökünü belirten bir Origin: başlığı eklemektedir. Siteler arası güvenliği sağlamak için, WebSocket sunucusu başlık verisini cevap almasına izin verilen köklerden oluşan bir beyaz liste ile karşılaştırmalıdır.
Uç örnekler ve istisnalar
Aynı kök politikası kontrollerinin ve ilgili mekanizmaların davranışı, URL'leri (file:, data:, vb.) ile ilişkilendirilen açıkça tanımlanmış bir alan adı veya port bilgisine sahip olmayan sözde protokoller için olduğu gibi bazı uç örneklerde kesin bir şekilde tanımlanmamıştır. Bu durum, lokal olarak saklanan HTML dosyasının disk üzerindeki diğer dosyalara erişebilmesi veya İnternet üzerindeki herhangi bir site ile haberleşebilmesi gibi genellikle istenmeyen yetenekler gibi hatırı sayılır miktarda güvenlik problemlerine neden olmuştur.
İlave olarak, JavaScript'ten önce var olan pek çok siteler arası işlemler aynı kök kontrollerine tabii olmamaktadır; buna bir örnek alan adları arasında betiklerin dahil edilebilmesi veya POST formlarının gönderilebilmesi yeteneğidir.
Son olarak, DNS re binding saldırıları veya sunucu taraflı vekil sunucular gibi bazı saldırı türleri, alan adı kontrolünün kısmen atlatılabilmesine izin vermekte ve sahte web sayfalarının, "gerçek", canonical kökünden farklı başka adresler üzerinden doğrudan sitelerle etkileşimde bulunabilmesini mümkün kılmaktadır. Bu tür saldırıların etkisi, çok özel durumlarla sınırlıdır. Çünkü tarayıcı hala saldırganın sitesiyle haberleştiğine inanmaktadır ve bu yüzden üçüncü taraf çerezleri veya diğer hassas bilgileri saldırgana ifşa etmemektedir.
Geçici çözümler
Geliştiricilerin kontrollü bir şekilde aynı kök politikasını atlatabilmesini mümkün kılmak için, fragman tanımlayıcının veya window.name özelliğinin kullanılması gibi bir takım yöntemler, farklı alan adlarında bulunan dokümanlar arasında veri gönderiminde kullanılmaktadır. HTML5 standardıyla, yeni tarayıcılarda kullanılabilir olan bir yöntem postMessage arayüzü, resmileştirilmiştir. JSONP de diğer alan adlarına yapılan Ajax benzeri çağrıları aktif hale getirmek için kullanılabilmektedir.
Ayrıca bakınız
Kaynakça
- ^ "The Tangled Web". Network Security. 2012 (4). doi:10.1016/s1353-4858(12)70022-3.
- ^ "Browser Security Handbook, part 2". google.com. 19 Ağustos 2016 tarihinde kaynağından . Erişim tarihi: 31 Ocak 2014.
- ^ "Same Origin Policy". W3C. 27 Ocak 2017 tarihinde kaynağından . Erişim tarihi: 31 Ocak 2014.
- ^ Lawrence, Eric. "IEInternals - Same Origin Policy Part 1". 10 Şubat 2016 tarihinde kaynağından . Erişim tarihi: 22 Ekim 2013.
- ^ LePera, Scott. "Cross-domain security woes". The Strange Zen Of JavaScript. 30 Ekim 2016 tarihinde kaynağından . Erişim tarihi: 4 Nisan 2014.
- ^ "Creating WSGI Middleware". 4 Mayıs 2017 tarihinde kaynağından . Erişim tarihi: 26 Nisan 2017.
- ^ "Blog Post: Using CORS with all (modern) browsers". 13 Ocak 2014 tarihinde kaynağından . Erişim tarihi: 26 Nisan 2017.
Dış bağlantılar
- Aynı kök politikalarının farklı özelliklerinin detaylı bir kıyaslaması
- Satıcıların sağladığı örnek aynı kök politikası tanımları
- HTML5'in kök tanımı
- Aynı kök politikası ile ilgili W3C makalesi
- Web Kök kavramına dair RFC 6454
- Blog yazısı: Çerez Aynı Kök Politikası
wikipedia, wiki, viki, vikipedia, oku, kitap, kütüphane, kütübhane, ara, ara bul, bul, herşey, ne arasanız burada,hikayeler, makale, kitaplar, öğren, wiki, bilgi, tarih, yukle, izle, telefon için, turk, türk, türkçe, turkce, nasıl yapılır, ne demek, nasıl, yapmak, yapılır, indir, ücretsiz, ücretsiz indir, bedava, bedava indir, mp3, video, mp4, 3gp, jpg, jpeg, gif, png, resim, müzik, şarkı, film, film, oyun, oyunlar, mobil, cep telefonu, telefon, android, ios, apple, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, pc, web, computer, bilgisayar
Ayni kok politikasi web uygulamalari guvenlik modelinde onemli bir unsurdur Bu politikaya gore bir web tarayicisi bir web sayfasinda yer alan betiklerin ikinci bir web sayfasi uzerindeki veriye erisimine sadece bu iki sayfa ayni koke sahipse izin vermektedir Bir kok ve bir kombinasyonu olarak tanimlanmaktadir Bu politika bir sayfada bulunan kotucul betigin baska bir sayfada bulunan hassas verilere erisimini o sayfanin Belge Nesnesi Modeli araciligiyla engellemektedir Bu mekanizma kimlik dogrulamasi yapilmis kullanici oturumlarini yonetmek icin yogun bir sekilde HTTP cerezlerine dayanan modern uygulamalar icin ozel bir onem tasimaktadir Bunun nedeni sunucularin hassas bilgileri gondermek ve durum degistiren aktiviteleri yapmak icin HTTP cerez bilgilerine dayanmasidir Birbiri ile baglantisi olmayan sitelerin sagladigi icerikler arasinda betik ayirimi gizlilik ve butunluk acisindan herhangi bir kayba neden olunmamasi icin istemci tarafinda yapilmalidir TarihiAyni kok politikasi kavrami 1995 yilindaki ye dayanmaktadir Bu politika baslarda Belge Nesnesi Modeline DOM erisimi korumak icin tasarlanmis olsa da kok JavaScript nesnelerinin hassas kisimlarini koruyacak sekilde genisletilmistir UygulamaButun modern tarayicilar guvenlik acisindan onemli bir temel tasi oldugu icin bir sekilde Ayni Kok Politikasi ni uygulamaktadir Bu politikalar kesin bir tanima uymak zorunda degildir ancak genelde Microsoft Silverlight Adobe Flash veya Adobe Acrobat gibi diger web teknolojileri icin veya XMLHttpRequest gibi dogrudan DOM degisimi icin olmayan diger mekanizmalar icin kabaca uyarlanabilir guvenlik sinirlari tanimlayacak sekilde genisletilmistir Kok belirleme kurallaribir URI ye ait kok belirlenirken kullanilan algoritma un 4 Kismi nda tanimlanmaktadir Tam URI ler icin protokol host port uclusu koktur Eger URI bir isimlendirme otoritesi 3 2 Kisma bakiniz olarak hiyerarsik bir yapi kullanmiyorsa veya URI bir tam URI degilse genel benzersiz tanimlayici GUID kullanilir Iki kaynak sadece ve sadece tum bu degerler birebir ayni ise ayni kokten sayilmaktadir Ornek olarak asagidaki tablo http www example com dir page html URL i icin yapilan kontrollerin sonuclarini gostermektedir Karsilastirilan URL Sonuc Nedenihttp www example com dir page2 html Success Ayni protokol host ve porthttp www example com dir2 other html Success Ayni protokol host ve porthttp username password www example com dir2 other html Success Ayni protokol host ve porthttp www example com 81 dir other html Failure Ayni protokol ve host ancak farkli porthttps www example com dir other html olu kirik baglanti Failure Farkli protokolhttp en example com dir other html Failure Farkli hosthttp example com dir other html Failure Farkli host birebir eslesmesi gerekmektedir http v2 www example com dir other html Failure Farkli host birebir eslesmesi gerekmektedir http www example com 80 dir other html Depends Port acikca yazilmis Tarayici uygulamasina gore degisir Diger tarayicilarin aksine Internet Explorer kok belirlemesinde port yerine Security Zone ozelligini kullanmaktadir Guvenlik UygulamalariAyni kok politikasi kimlik dogrulamasi yapilmis oturumlari kullanan sitelerin korunmasina yardim etmektedir Bahsedilecek ornek ayni kok politikasi olmadiginda olusabilecek olasi guvenlik riskini orneklemektedir Bir kullanicinin bir bankacilik uygulamasini kullandigini ve sonrasinda cikis yapmadigini varsayalim Sonrasinda kullanici bankacilik sitesinden veri isteyen ve arka planda calisan kotucul JavaScript kodu calistiran baska bir siteye gitmistir Kullanici bankacilik uygulamasinda oturumunu kapatmadigi icin kotucul kod kullanicinin bankacilik sitesi uzerinde yapabilecegi her seyi yapabilmektedir Ornegin kullanicinin son islemlerini listeleyebilir yeni bir islem yapabilir vb Bunun nedeni tarayicinin bankacilik sitesinin alan adina bagli olarak bankacilik sitesine oturum cerezlerini gonderebilmesi ve oturum cerezleri alabilmesidir Kotucul siteyi ziyaret eden kullanici ziyaret ettigi sitenin bankacilik oturum cerezlerine erisemeyecegini beklemektedir JavaScript kodunun dogrudan bankacilik uygulamasi cerezlerine erisiminin olmadigi dogru olsa da yine de bankacilik sitesinin oturum cerezleri ile bankacilik sitesine istek gonderebilmekte ve bu siteden cevap alabilmektedir Betik temelde kullanicinin yapabilecegi her seyi yapabildigi icin bankacilik sitesi tarafindan uygulanan CSRF koruma yontemleri bile faydasiz olmaktadir Ayni kok politikasinin esnetilmesiBazi durumlarda ayni kaynak politikasi birden fazla alt alan adi kullanan buyuk web siteleri icin cok kisitlayici olarak problem olusturabilmektedir Asagida bu politikayi esnetmek icin kullanilan bazi teknikler verilmistir document domain ozelligi Eger iki pencere veya cerceve alan adini ayni deger olarak belirleyen betikler iceriyorsa bu iki pencere icin ayni kok politikasi esnetilir ve pencereler birbirleriyle haberlesebilir Ornegin orders example com ve catalog example com uzerinden yuklenen dokumanlardaki betikler document domain ozelliklerini example com olarak belirleyebilir ve boylece dokumanlarin ayni koku paylasmasini ve her bir dokumanin digerinin ozelliklerini okuyabilmesini saglayabilirler Bu ic tarafta saklanan port degerinin null olarak isaretlenebilmesinden dolayi her zaman calismayabilmektedir Baska bir deyisle example com port 80 document domain ozelligi guncellendigi icin example com port null olarak degisebilmektedir Port null 80 portu gibi muamele gormeyebilir tarayiciya bagli olarak ve boylece gecersiz olabilir veya tarayiciya bagli olarak basarili olabilir Kokler Arasi Kaynak Paylasimi Ayni kok politikasinin esnetilmesi icin ikinci bir yontem Koklar Arasi Kaynak Paylasimi ismi ile standardize edilmistir Bu standart HTTP protokolunu yeni Origin istek basligi ve Access Control Allow Origin cevap basligi ile genisletmistir Bu sunucularin bir baslik kullanarak bir dosyaya erisebilecek kokleri listelemesine veya ozel bir karakter kullanarak bir dosyayi herhangi bir sitenin erisimine acmasina izin vermektedir Firefox 3 5 Safari 4 ve Internet Explorer 10 gibi tarayicilar aksi takdirde ayni kok politikasi tarafindan engellenecek olan XMLHttpRequest ile kokler arasi HTTP isteklerine izin vermek icin bu basligi kullanmaktadir Dokumanlar arasi mesajlasma Baska bir teknik olan dokumanlar arasi mesajlasma bir sayfadaki betigin betik koklerinden bagimsiz olarak baska bir sayfadaki betige metinsel mesajlar gondermesine izin vermektedir Bir Window nesnesi uzerinden postMessage metodunun cagrilmasi eszamansiz olarak o window nesnesi uzerinde bir onmessage olayi olusturur ve kullanicinin tanimladigi olay isleyicileri tetikler Bir sayfadaki betik baska bir sayfadaki metot ve degiskenlere dogrudan erisemez ancak bu mesaj gonderme mekanizmasi uzerinden guvenli bir sekilde haberlesebilirler JSONP JSONP bir sayfanin baska bir alan adindan bir JSON cevabi yukleyen sayfaya lt script gt elemaninin eklenmesi ile farkli bir alan adindan JSON verisi almasina izin vermektedir WebSockets Modern tarayicilar ayni kok politikasini uygulamaksizin bir betigin bir WebSocket adresine baglanmasina izin vermektedir Ancak bir WebSocket URI sinin kullanildigini anlamakta ve istege baglantiyi isteyen betigin kokunu belirten bir Origin basligi eklemektedir Siteler arasi guvenligi saglamak icin WebSocket sunucusu baslik verisini cevap almasina izin verilen koklerden olusan bir beyaz liste ile karsilastirmalidir Uc ornekler ve istisnalarAyni kok politikasi kontrollerinin ve ilgili mekanizmalarin davranisi URL leri file data vb ile iliskilendirilen acikca tanimlanmis bir alan adi veya port bilgisine sahip olmayan sozde protokoller icin oldugu gibi bazi uc orneklerde kesin bir sekilde tanimlanmamistir Bu durum lokal olarak saklanan HTML dosyasinin disk uzerindeki diger dosyalara erisebilmesi veya Internet uzerindeki herhangi bir site ile haberlesebilmesi gibi genellikle istenmeyen yetenekler gibi hatiri sayilir miktarda guvenlik problemlerine neden olmustur Ilave olarak JavaScript ten once var olan pek cok siteler arasi islemler ayni kok kontrollerine tabii olmamaktadir buna bir ornek alan adlari arasinda betiklerin dahil edilebilmesi veya POST formlarinin gonderilebilmesi yetenegidir Son olarak DNS re binding saldirilari veya sunucu tarafli vekil sunucular gibi bazi saldiri turleri alan adi kontrolunun kismen atlatilabilmesine izin vermekte ve sahte web sayfalarinin gercek canonical kokunden farkli baska adresler uzerinden dogrudan sitelerle etkilesimde bulunabilmesini mumkun kilmaktadir Bu tur saldirilarin etkisi cok ozel durumlarla sinirlidir Cunku tarayici hala saldirganin sitesiyle haberlestigine inanmaktadir ve bu yuzden ucuncu taraf cerezleri veya diger hassas bilgileri saldirgana ifsa etmemektedir Gecici cozumlerGelistiricilerin kontrollu bir sekilde ayni kok politikasini atlatabilmesini mumkun kilmak icin fragman tanimlayicinin veya window name ozelliginin kullanilmasi gibi bir takim yontemler farkli alan adlarinda bulunan dokumanlar arasinda veri gonderiminde kullanilmaktadir HTML5 standardiyla yeni tarayicilarda kullanilabilir olan bir yontem postMessage arayuzu resmilestirilmistir JSONP de diger alan adlarina yapilan Ajax benzeri cagrilari aktif hale getirmek icin kullanilabilmektedir Ayrica bakinizKokler Arasi Kaynak Paylasimi Siteler Arasi Betik Calistirma Siteler Arasi Istek SahteciligiKaynakca IETF rfc 6265 HTTP State Management Mechanism Apr 2011 The Tangled Web Network Security 2012 4 doi 10 1016 s1353 4858 12 70022 3 Browser Security Handbook part 2 google com 19 Agustos 2016 tarihinde kaynagindan Erisim tarihi 31 Ocak 2014 Same Origin Policy W3C 27 Ocak 2017 tarihinde kaynagindan Erisim tarihi 31 Ocak 2014 Lawrence Eric IEInternals Same Origin Policy Part 1 10 Subat 2016 tarihinde kaynagindan Erisim tarihi 22 Ekim 2013 LePera Scott Cross domain security woes The Strange Zen Of JavaScript 30 Ekim 2016 tarihinde kaynagindan Erisim tarihi 4 Nisan 2014 Creating WSGI Middleware 4 Mayis 2017 tarihinde kaynagindan Erisim tarihi 26 Nisan 2017 Blog Post Using CORS with all modern browsers 13 Ocak 2014 tarihinde kaynagindan Erisim tarihi 26 Nisan 2017 Dis baglantilarAyni kok politikalarinin farkli ozelliklerinin detayli bir kiyaslamasi Saticilarin sagladigi ornek ayni kok politikasi tanimlari HTML5 in kok tanimi Ayni kok politikasi ile ilgili W3C makalesi Web Kok kavramina dair RFC 6454 Blog yazisi Cerez Ayni Kok Politikasi