Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 1076

Política del mismo origen (SOP)

Revisado porCybersecurity entrepreneur & security researcher

¿Qué es Política del mismo origen (SOP)?

Política del mismo origen (SOP)Regla de seguridad del navegador que limita cómo un documento o script de un origen puede interactuar con recursos de otro origen distinto.


La política del mismo origen es la barrera de aislamiento fundamental de la web, introducida en Netscape Navigator 2 (1995). Dos URL comparten origen solo cuando coinciden esquema, host y puerto; en caso contrario, el navegador impide leer respuestas, acceder al DOM de marcos de otro origen o inspeccionar cookies ajenas. SOP evita que una página maliciosa lea el contenido de una sesión bancaria abierta en otra pestaña.

Lo que SOP cubre y lo que no

SOP controla las lecturas, no los envíos: una página todavía puede provocar peticiones de otro origen (un POST de <form>, una carga de <img>), por eso CSRF existe como clase de fallo aparte. Se relaja de forma controlada mediante CORS (definido en el estándar Fetch de WHATWG), postMessage, document.domain y el patrón heredado JSONP. Las excepciones demasiado permisivas —por ejemplo reflejar Access-Control-Allow-Origin junto con Access-Control-Allow-Credentials: true— son una causa frecuente de fugas de datos entre orígenes y de evasión de autenticación.

Endurecimiento más allá de SOP

Las divulgaciones de Spectre en 2018 mostraron que SOP por sí sola no impedía que un origen leyera la memoria de otro dentro de un proceso de renderizado compartido. Chrome 67 respondió activando Site Isolation por defecto, situando cada sitio en su propio proceso del SO, y añadió Cross-Origin Read Blocking (CORB), ya parte del estándar Fetch. Las defensas modernas añaden las cabeceras COOP, COEP y CORP sobre SOP para optar por un aislamiento completo entre orígenes.

flowchart TD
  A[Script de https://app.example:443] --> B{¿Coincide el origen?<br/>esquema + host + puerto}
  B -->|Mismo origen| C[Lectura de respuesta, DOM y cookies permitida]
  B -->|Otro origen| D{¿Relajación explícita?}
  D -->|CORS / postMessage| E[Acceso controlado por cabeceras]
  D -->|Ninguna| F[El navegador bloquea la lectura<br/>CORB / respuesta opaca]

Preguntas frecuentes

¿Qué es Política del mismo origen (SOP)?

Regla de seguridad del navegador que limita cómo un documento o script de un origen puede interactuar con recursos de otro origen distinto. Pertenece a la categoría de Seguridad de aplicaciones en ciberseguridad.

¿Qué significa Política del mismo origen (SOP)?

Regla de seguridad del navegador que limita cómo un documento o script de un origen puede interactuar con recursos de otro origen distinto.

¿Cómo defenderse de Política del mismo origen (SOP)?

Las defensas contra Política del mismo origen (SOP) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.

¿Cuáles son otros nombres para Política del mismo origen (SOP)?

Nombres alternativos comunes: SOP.

Términos relacionados

Véase también