- Política del mismo origen
-
Política del mismo origen
En informática, la política del mismo origen es una medida importante de seguridad para scripts en la parte cliente (casi siempre javascript). Esta política viene del navegador web Netscape 2.0, y previene de que un documento o script cargado en un "origen" pueda cargarse o modificar propiedades del documento desde un "origen" diferente. Se trata de uno de los conceptos de seguridad más importantes de los navegadores modernos.
Contenido
Restricción de acceso
La filosofía de la política del mismo origen es sencilla: el navegador no debería confiar en contenido cargado desde sitios web arbitrarios. Las páginas web que se ejecutan en un sandbox no pueden conectar a recursos de otros orígenes. Sin esta protección, una página web maliciosa podría comprometer la confidencialidad y la integridad de otra página web.
Superando la restricción de acceso
Es posible "superar" esta restricción firmando el script. Sin embargo, en la práctica, las firmas de scripts son muy poco usadas. Principalmente esto se debe a que Internet Explorer no soporta los scripts firmados, y no todo el mundo puede disponer de una firma digital ampliamente reconocida, especialmente los desarrolladores web.
Adopción por parte de los vendedores
Esta política es usada en los navegadores web modernos que soportan scripts en la parte cliente. Internet explorer utiliza un enfoque alternativo de zonas de seguridad además de la política del mismo origen ("o del mismo sitio"). Por defecto en Internet Explorer, los sitios web están restringidos a sus sitios de origen, pero el usuario puede elegir el permitir sitios de intranet locales (o sitios que el ha confiado explicítamente) para acceder a datos a través de otros dominios.
Enlaces externos
Política del mismo origen para javascript
Enlaces externos
- JavaScript Security: Same Origin (Mozilla)
- JavaScript Security in Communicator 4.x (PDF)
- Violating Same Origin Policy with XMLHttp: Cross-Browser Differences (SourceForge Wiki)
- Second page of an article on JavaScript Security (focuses on Same Origin issues)
- Same-Origin Policy Part 1: Why we’re stuck with things like XSS and XSRF/CSRF
Categoría: Protocolos de red
Wikimedia foundation. 2010.