Pruebas de seguridad: política del mismo origen

La Política del mismo origen (SOP) es un concepto importante en el modelo de seguridad de aplicaciones web.

¿Qué es la política de mismo origen?

Según esta política, permite la ejecución de scripts en páginas que se originan en el mismo sitio, lo que puede ser una combinación de lo siguiente:

• Domain
• Protocol
• Port

Ejemplo

La razón de este comportamiento es la seguridad. Si tiene try.com en una ventana y gmail.com en otra ventana, NO desea que un script de try.com acceda o modifique el contenido de gmail.com o ejecute acciones en el contexto de gmail en su nombre.

A continuación se muestran páginas web del mismo origen. Como se explicó anteriormente, el mismo origen toma en consideración dominio / protocolo / puerto.

• http://website.com
• http://website.com/
• http://website.com/my/contact.html

A continuación se muestran páginas web de un origen diferente.

• http://www.site.co.uk (otro dominio)
• http://site.org (otro dominio)
• https://site.com (otro protocolo)
• http://site.com:8080 (otro puerto)

Excepciones a la política del mismo origen para IE

Internet Explorer tiene dos excepciones importantes a SOP.

• El primero está relacionado con las 'Zonas de confianza'. Si ambos dominios están en una zona de alta confianza, la política del mismo origen no se aplica por completo.

• La segunda excepción en IE está relacionada con el puerto. IE no incluye el puerto en la política del mismo origen, por lo tanto, http://website.com y http://wesite.com:4444 se consideran del mismo origen y no se aplican restricciones.