Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 1076

Politique de même origine (SOP)

Vérifié parCybersecurity entrepreneur & security researcher

Qu'est-ce que Politique de même origine (SOP) ?

Politique de même origine (SOP)Regle de securite du navigateur qui restreint la maniere dont un document ou script charge depuis une origine peut interagir avec une ressource d'une autre origine.


La politique de meme origine est la frontiere d'isolement fondamentale du web, livree des Netscape Navigator 2 (1995). Deux URL partagent une origine uniquement si leur schema, hote et port coincident; sinon, le navigateur empeche les scripts de lire les reponses, d'acceder au DOM d'iframes cross-origin ou d'inspecter les cookies d'un autre site. SOP empeche une page malveillante de lire le contenu d'une session bancaire ouverte dans un autre onglet.

Ce que SOP couvre, et ne couvre pas

SOP regit les lectures, pas les envois : une page peut toujours declencher des requetes cross-origin (un POST de <form>, un chargement d'<img>), ce qui explique pourquoi le CSRF est une classe de faille distincte. Elle est assouplie de maniere controlee par CORS (defini dans le standard Fetch du WHATWG), postMessage, document.domain et l'ancien procede JSONP. Les exceptions trop permissives — par exemple reflechir Access-Control-Allow-Origin avec Access-Control-Allow-Credentials: true — sont une cause frequente de fuites de donnees cross-origin et de contournement d'authentification.

Durcissement au-dela de SOP

Les divulgations Spectre de 2018 ont montre que SOP seule ne pouvait empecher une origine de lire la memoire d'une autre dans un processus de rendu partage. Chrome 67 a reagi en activant Site Isolation par defaut, placant chaque site dans son propre processus systeme, et a ajoute Cross-Origin Read Blocking (CORB), desormais integre au standard Fetch. Les defenses modernes ajoutent les en-tetes COOP, COEP et CORP par-dessus SOP pour activer un isolement cross-origin complet.

flowchart TD
  A[Script de https://app.example:443] --> B{Origine cible identique ?<br/>schema + hote + port}
  B -->|Meme origine| C[Lecture reponse, DOM, cookies autorisee]
  B -->|Cross-origin| D{Assouplissement explicite ?}
  D -->|CORS / postMessage| E[Acces controle par en-tetes]
  D -->|Aucun| F[Le navigateur bloque la lecture<br/>CORB / reponse opaque]

Questions fréquentes

Qu'est-ce que Politique de même origine (SOP) ?

Regle de securite du navigateur qui restreint la maniere dont un document ou script charge depuis une origine peut interagir avec une ressource d'une autre origine. Cette notion relève de la catégorie Sécurité applicative en cybersécurité.

Que signifie Politique de même origine (SOP) ?

Regle de securite du navigateur qui restreint la maniere dont un document ou script charge depuis une origine peut interagir avec une ressource d'une autre origine.

Comment se défendre contre Politique de même origine (SOP) ?

Les défenses contre Politique de même origine (SOP) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Quels sont les autres noms de Politique de même origine (SOP) ?

Noms alternatifs courants : SOP.

Termes liés

Voir aussi