SOP
InformativoSame-Origin Policy / Política del Mismo Origen
Definición
La Same-Origin Policy (SOP) es un mecanismo de seguridad fundamental implementado en los navegadores web que restringe cómo los scripts de un origen pueden interactuar con recursos de otro origen. Dos URLs tienen el mismo origen si comparten protocolo, host y puerto. SOP previene que un sitio malicioso lea datos de otro sitio donde el usuario está autenticado.
Impacto
Fundamento de seguridad de toda la web modernaPreviene el robo de datos entre sitios webLimita qué peticiones cross-origin pueden hacer los scriptsBase sobre la que se construyen CORS, CSP y otros mecanismos
Ejemplos
Qué permite y qué bloquea SOP
SOP compara protocolo + host + puerto. Si cualquiera de los tres es diferente, el navegador bloquea la lectura de la respuesta por parte de scripts. Sin embargo, SOP no bloquea el envío de peticiones (por eso CSRF es posible), solo la lectura de las respuestas.
// Origen: https://ejemplo.com:443 // MISMO ORIGEN (permitido): https://ejemplo.com/pagina2 // ✅ mismo protocolo, host, puerto https://ejemplo.com/api/data // ✅ // DIFERENTE ORIGEN (bloqueado para lectura): http://ejemplo.com/api // ❌ diferente protocolo https://sub.ejemplo.com/api // ❌ diferente host https://ejemplo.com:8080/api // ❌ diferente puerto https://otro.com/api // ❌ diferente host