Politica de aceeași origine (Same Origin Policy ) este un concept important în modelul de securitate a aplicațiilor web . Ca parte a acestei politici, browserul web permite scripturilor de pe o pagină web să obțină date pe o a doua pagină web, dar numai dacă ambele pagini web au aceeași origine ( Origine ). Originea constă dintr-o combinație de URI de schemă, un nume de domeniu și un număr de port. Politica restricționează scripturile rău intenționate dintr-o pagină web să obțină acces la informații sensibile de pe o altă pagină web prin arborele DOM al paginii respective .
Acest mecanism este de o importanță deosebită pentru aplicațiile web moderne care se bazează în mare măsură pe cookie-uri HTTP pentru a menține sesiunile de utilizator autentificate. Deoarece serverele se bazează pe cookie-uri HTTP pentru a dezvălui informații sensibile sau pentru a efectua acțiuni de modificare a stării la nivelul clientului, trebuie menținută o segregare strictă a conținutului furnizat de site-uri care nu au legătură pentru a preveni pierderea datelor sensibile sau compromiterea integrității datelor.
Este foarte important să ne amintim că principiul aceleiași origini se aplică numai scripturilor. Aceasta înseamnă că resurse precum imaginile, CSS și scripturile încărcate dinamic pot fi accesate din orice sursă prin intermediul etichetelor HTML corespunzătoare (cu excepția fonturilor). Atacurile se bazează pe faptul că principiul aceleiași origini nu se aplică etichetelor HTML.
Conceptul aceluiași principiu de origine a fost introdus de Netscape Navigator 2.02 în 1995, la scurt timp după introducerea JavaScript în Netscape 2.0. JavaScript a făcut posibilă utilizarea scripturilor în paginile web, în special, pentru a obține acces programatic la Modelul obiectului document (DOM).
Principiul a fost conceput inițial pentru a proteja accesul la DOM, dar de atunci a fost extins pentru a proteja părțile sensibile ale obiectelor JavaScript globale.
Pentru a ilustra, următorul tabel oferă o prezentare generală a verificărilor tipice pentru comparație cu exemplul de URL „http://www.example.com/dir/page.html”.
| Adresă URL comparabilă | Examinare | Cauză |
|---|---|---|
| http://www.example.com/dir/page.html _ | Corespunde | Același protocol și domeniu |
| http://www.example.com/dir2/other.html _ | Corespunde | Același protocol și domeniu |
| http:// nume utilizator:parolă@ www.example.com /dir2/other.html | Corespunde | Același protocol și domeniu |
| http://www.example.com:81/dir/other.html _ _ | Nu se potrivește | Același protocol și domeniu, dar port diferit |
| https://www.example.com/dir/other.html _ | Nu se potrivește | Protocolul diferă |
| http://en.example.com/dir/other.html _ _ | Nu se potrivește | Domeniul diferă |
| http://example.com/dir/other.html _ _ | Nu se potrivește | Domeniul diferă (este necesară potrivirea completă) |
| http://v2.www.example.com/dir/other.html _ _ | Nu se potrivește | Domeniul diferă (este necesară potrivirea completă) |
| http://www.example.com:80/dir/other.html _ _ | Nedefinit | Specificarea explicită a portului. Depinde de implementarea în browser. |