WEB-SECURITY SECURITY BROWSER SAME-ORIGIN-POLICY FRONTEND-SECURITY WEB-DEVELOPMENT JAVASCRIPT CORS THREAT-PREVENTION

Same-Origin Policy (SOP): Fondasi Keamanan Web yang Sering Terlupakan

⏱️ 8 menit baca
👨‍💻

Same-Origin Policy (SOP): Fondasi Keamanan Web yang Sering Terlupakan

1. Pendahuluan

Pernahkah Anda bertanya-tanya bagaimana browser web melindungi data pribadi Anda saat Anda berselancar di internet? Bagaimana browser mencegah sebuah website jahat mencuri informasi dari akun bank Anda yang sedang terbuka di tab lain? Jawabannya terletak pada salah satu pilar keamanan paling fundamental di web: Same-Origin Policy (SOP).

Sebagai developer web, kita sering berhadapan dengan error “CORS policy blocked” atau berusaha mengamankan aplikasi kita dari berbagai serangan. Namun, inti dari semua mekanisme ini adalah SOP. Tanpa SOP, web akan menjadi tempat yang jauh lebih berbahaya, di mana setiap situs web bisa dengan mudah mengakses dan memanipulasi data dari situs lain.

Artikel ini akan membawa Anda menyelami Same-Origin Policy: apa itu, bagaimana cara kerjanya, mengapa ini sangat penting, dan bagaimana implikasinya terhadap aplikasi web yang Anda bangun. Mari kita mulai!

2. Apa Itu Same-Origin Policy?

🎯 Same-Origin Policy (SOP) adalah mekanisme keamanan penting yang diterapkan oleh browser web untuk membatasi bagaimana dokumen atau skrip yang dimuat dari satu “origin” (sumber) dapat berinteraksi dengan sumber daya dari “origin” lain.

Singkatnya, SOP adalah aturan yang mengatakan: “Jika sebuah skrip berasal dari situs-a.com, maka skrip tersebut hanya boleh membaca data atau berinteraksi secara intensif dengan sumber daya yang juga berasal dari situs-a.com.” Ini seperti batasan wilayah; Anda bisa melihat rumah tetangga, tapi Anda tidak bisa masuk dan mengambil barang-barang mereka tanpa izin.

Lalu, apa itu “Origin”? Sebuah “origin” didefinisikan oleh kombinasi dari tiga hal:

  1. Skema (Protocol): http:// atau https://
  2. Host (Domain): example.com, sub.example.com, localhost
  3. Port: 80, 443, 3000

Jika salah satu dari ketiga komponen ini berbeda, maka kedua URL dianggap memiliki “origin” yang berbeda.

Contoh Origin yang Sama:

Contoh Origin yang Berbeda:

3. Bagaimana Browser Menegakkan SOP?

SOP bekerja dengan membatasi beberapa jenis interaksi lintas origin. Batasan ini terutama berlaku pada operasi “baca” (read access) atau operasi yang bisa mengekspos data sensitif.

Berikut adalah area-area utama di mana SOP diberlakukan:

a. Akses ke DOM (Document Object Model)

❌ Skrip dari satu origin tidak dapat membaca atau memanipulasi DOM dari dokumen yang dimuat dari origin yang berbeda, meskipun dokumen tersebut dimuat dalam <iframe>.

Skenario Praktis: Jika https://bank.com membuka https://situs-jahat.com dalam sebuah <iframe>, situs-jahat.com tidak bisa mengakses isi <iframe> bank.com untuk mencuri informasi akun Anda. Ini adalah perlindungan utama dari serangan clickjacking dan UI redressing yang lebih canggih.

b. Akses ke JavaScript Objects dan Data

❌ Skrip dari satu origin tidak dapat langsung mengakses properti atau metode dari objek JavaScript yang berasal dari origin yang berbeda. Ini termasuk objek seperti window dan document yang dimuat dari origin lain.

Skenario Praktis: Jika Anda membuka https://facebook.com di satu tab dan https://situs-jahat.com di tab lain, situs-jahat.com tidak bisa menggunakan JavaScript untuk mengambil variabel atau fungsi dari facebook.com yang mungkin berisi token sesi atau data pribadi Anda.

c. Permintaan Jaringan (XHR/Fetch)

📌 Ini adalah area yang paling sering kita temui sebagai developer. Secara default, browser memblokir permintaan XMLHttpRequest (XHR) atau Fetch API yang dibuat dari satu origin ke origin yang berbeda untuk operasi “baca” (misalnya GET yang mengambil data).

Contoh: Sebuah aplikasi frontend yang berjalan di https://app.example.com mencoba mengambil data dari API yang berada di https://api.example.com. Karena app.example.com dan api.example.com adalah origin yang berbeda (meskipun domainnya mirip, sub-domain membuatnya berbeda), browser akan memblokir respons dari api.example.com ke app.example.com secara default. ⚠️ Untuk mengizinkan ini, server api.example.com harus secara eksplisit memberikan izin melalui header HTTP CORS (Cross-Origin Resource Sharing). Kita akan bahas ini sedikit di bawah.

💡 Penting: SOP tidak mencegah permintaan jaringan dikirim ke origin lain. Ia hanya mencegah skrip klien membaca respons dari permintaan tersebut jika originnya berbeda dan tidak ada izin khusus (CORS). Ini berarti server api.example.com akan menerima permintaan dari app.example.com, tapi responsnya tidak akan sampai ke JavaScript di app.example.com jika SOP diaktifkan.

4. Implikasi SOP dalam Pengembangan Web

Memahami SOP sangat krusial karena memengaruhi banyak aspek aplikasi web Anda:

a. Cookies

✅ Cookies memiliki mekanisme “origin” sendiri. Sebuah cookie yang disetel oleh example.com hanya akan dikirimkan kembali ke example.com atau sub-domainnya (tergantung konfigurasi Domain dan Path cookie). SOP membantu memastikan bahwa cookie yang berisi sesi atau kredensial autentikasi Anda tidak mudah dicuri oleh situs web lain.

b. LocalStorage, SessionStorage, dan IndexedDB

❌ Data yang disimpan di localStorage, sessionStorage, dan IndexedDB sepenuhnya terisolasi per origin. Ini berarti skrip dari https://situs-a.com tidak bisa mengakses data yang disimpan oleh https://situs-b.com di browser Anda. Ini adalah perlindungan yang kuat untuk data lokal aplikasi Anda.

c. Permintaan API (XHR/Fetch)

Seperti yang disebutkan, ini adalah area di mana developer paling sering berinteraksi dengan SOP. Jika frontend Anda (origin A) perlu berkomunikasi dengan backend API (origin B), Anda harus secara eksplisit mengizinkan komunikasi lintas origin ini.

5. Membuka Batasan SOP secara Aman

Meskipun SOP adalah mekanisme keamanan yang ketat, ada kalanya kita perlu membiarkan interaksi lintas origin terjadi untuk membangun aplikasi web modern. Untungnya, ada beberapa cara aman untuk “melonggarkan” SOP:

a. CORS (Cross-Origin Resource Sharing)

📌 Ini adalah metode paling umum dan direkomendasikan untuk memungkinkan permintaan HTTP lintas origin. Server yang menyediakan sumber daya (misalnya, API Anda) harus mengirim header HTTP khusus, seperti Access-Control-Allow-Origin, untuk memberi tahu browser bahwa origin tertentu diizinkan untuk mengakses sumber dayanya.

Contoh Header Respons dari Server API:

Access-Control-Allow-Origin: https://app.example.com
Access-Control-Allow-Methods: GET, POST, PUT, DELETE
Access-Control-Allow-Headers: Content-Type, Authorization

Header ini memberitahu browser bahwa https://app.example.com diizinkan untuk membuat permintaan ke API ini.

b. JSONP (JSON with Padding)

JSONP adalah teknik lama untuk mengatasi batasan SOP pada permintaan GET sebelum CORS ada. Ini bekerja dengan menyuntikkan tag <script> yang bisa mengambil skrip dari origin mana pun. Namun, JSONP memiliki kelemahan keamanan dan fleksibilitas, sehingga sebagian besar sudah digantikan oleh CORS.

c. window.postMessage()

✅ Untuk komunikasi antara window yang berbeda (misalnya, parent window dan <iframe> anak, atau antar tab/window yang dibuka oleh skrip), postMessage() adalah API browser yang aman. Ini memungkinkan pengiriman pesan lintas origin secara terkontrol, di mana pengirim dan penerima harus secara eksplisit memeriksa origin pesan untuk mencegah kerentanan.

// Di window induk (origin A)
const iframe = document.getElementById('myIframe');
iframe.contentWindow.postMessage('Halo dari induk!', 'https://origin-anak.com');

// Di iframe anak (origin B)
window.addEventListener('message', (event) => {
  if (event.origin === 'https://origin-induk.com') {
    console.log('Pesan diterima:', event.data);
  } else {
    console.warn('Pesan dari origin tidak dikenal:', event.origin);
  }
});

d. WebSockets

✅ Koneksi WebSocket secara teknis tidak tunduk pada SOP setelah handshake awal. Handshake WebSocket dimulai dengan permintaan HTTP lintas origin, yang tunduk pada SOP dan dapat memanfaatkan header CORS. Namun, setelah koneksi terjalin, SOP tidak lagi berlaku untuk pengiriman pesan melalui WebSocket. Browser masih menerapkan kebijakan asal (origin policy) pada handshake awal untuk mencegah serangan.

6. SOP dan Ancaman Keamanan

SOP adalah garis pertahanan pertama terhadap beberapa jenis serangan web yang umum:

a. Cross-Site Scripting (XSS)

SOP tidak secara langsung mencegah XSS, karena serangan XSS terjadi ketika skrip jahat disuntikkan dan dieksekusi di dalam origin yang sama dengan aplikasi yang sah. Namun, SOP mencegah skrip XSS yang dieksekusi di situs-a.com untuk kemudian dengan mudah membaca data sensitif dari situs-b.com yang terbuka di tab lain. Tanpa SOP, serangan XSS akan memiliki jangkauan dampak yang jauh lebih luas.

b. Cross-Site Request Forgery (CSRF)

SOP juga tidak secara langsung mencegah CSRF. Serangan CSRF bekerja dengan memaksa browser pengguna untuk mengirim permintaan ke situs web yang sah (misalnya, bank.com) dengan menyertakan cookie sesi pengguna. SOP tidak mencegah pengiriman permintaan ini (karena permintaan HTTP lintas origin dapat dikirim, hanya responsnya yang diblokir). Namun, SOP mencegah situs penyerang untuk melihat respons dari permintaan CSRF tersebut, sehingga mereka tidak bisa mengkonfirmasi keberhasilan serangan atau mengambil data dari respons.

💡 Takeaway: SOP adalah fondasi, tapi bukan satu-satunya solusi. Anda tetap perlu menerapkan langkah-langkah keamanan tambahan seperti Input Validation, Output Encoding (untuk XSS), dan CSRF Tokens (untuk CSRF).

Kesimpulan

Same-Origin Policy adalah konsep yang mungkin terdengar rumit, tetapi esensinya sederhana: menjaga privasi dan keamanan data Anda di web dengan membatasi interaksi antar situs web. Sebagai developer, memahami SOP bukan hanya tentang menghindari error CORS, tetapi juga tentang membangun aplikasi yang lebih aman dan tangguh.

Dengan memahami bagaimana browser menegakkan SOP dan kapan serta bagaimana kita bisa melonggarkannya secara aman, Anda memiliki landasan yang kuat untuk menghadapi tantangan keamanan web modern. Ingatlah, SOP adalah teman Anda dalam menjaga ekosistem web tetap aman dan tepercaya!

🔗 Baca Juga