Same-origin policy (SOP)
Un origen se refiere a la combinación de un protocolo, un nombre de dominio y un número de puerto. Los navegadores implementan una política denominada same-origin policy (política del mismo origen) con el fin de evitar que un origen tenga acceso a los recursos en un origen diferente.
La tabla a continuación ilustra cómo se implementa same-origin policy (SOP) cuando http://example.com/ intenta acceder a otros orígenes:
URL accedida | ¿Acceso permitido? |
---|---|
http://example.com/path/ | Si: mismo protocolo, dominio y puerto |
http://example.com/path2/ | Si: mismo protocolo, dominio y puerto |
http://example.com:8080/path/ | No: diferente puerto |
http://www.example.com/path/ | No: diferente dominio |
http://es.example.com/path/ | No: diferente dominio |
https://example.com/path/ | No: diferente protocolo y puerto |
Sin embargo, el propósito de same-origin policy (SOP) no es evitar que el navegador realice una solicitud hacia un recurso en otro origen, sino evitar que JavaScript pueda leer la respuesta recibida. Esto se asemeja funcionalmente a la flag de cookie HttpOnly, la cual impide que JavaScript acceda a la información almacenada en una cookie, pero permite que el navegador la envíe junto con solicitudes HTTP.
Same-origin policy (SOP) impide que JavaScript lea la respuesta, pero no bloquea la solicitud.
Última actualización