Politica de mesma origem (SOP)
O que é Politica de mesma origem (SOP)?
Politica de mesma origem (SOP)Regra de seguranca do navegador que restringe como um documento ou script carregado de uma origem pode interagir com recursos de outra origem.
A politica de mesma origem e a fronteira de isolamento fundamental da web, introduzida no Netscape Navigator 2 (1995). Dois URL compartilham origem apenas quando esquema, host e porta coincidem; caso contrario, o navegador impede scripts de ler respostas, acessar o DOM de frames de outra origem ou inspecionar cookies de outros sites. SOP impede que uma pagina maliciosa leia o conteudo de uma sessao bancaria aberta em outra aba.
O que SOP cobre e o que nao cobre
SOP rege leituras, nao envios: uma pagina ainda pode disparar requisicoes de outra origem (um POST de <form>, um carregamento de <img>), e por isso o CSRF existe como classe de falha separada. E relaxada de forma controlada por CORS (definido no padrao Fetch do WHATWG), postMessage, document.domain e o legado JSONP. Excecoes excessivamente permissivas - por exemplo refletir Access-Control-Allow-Origin junto com Access-Control-Allow-Credentials: true - sao causa frequente de vazamento de dados entre origens e de contorno de autenticacao.
Endurecimento alem do SOP
As divulgacoes do Spectre em 2018 mostraram que o SOP sozinho nao impedia uma origem de ler a memoria de outra dentro de um processo de renderizacao compartilhado. O Chrome 67 respondeu ativando o Site Isolation por padrao, colocando cada site no seu proprio processo do SO, e adicionou o Cross-Origin Read Blocking (CORB), hoje parte do padrao Fetch. Defesas modernas acrescentam os cabecalhos COOP, COEP e CORP sobre o SOP para optar por isolamento total entre origens.
flowchart TD
A[Script de https://app.example:443] --> B{Origem de destino coincide?<br/>esquema + host + porta}
B -->|Mesma origem| C[Leitura de resposta, DOM e cookies permitida]
B -->|Outra origem| D{Relaxamento explicito?}
D -->|CORS / postMessage| E[Acesso controlado por cabecalhos]
D -->|Nenhum| F[Navegador bloqueia a leitura<br/>CORB / resposta opaca]● Perguntas frequentes
O que é Politica de mesma origem (SOP)?
Regra de seguranca do navegador que restringe como um documento ou script carregado de uma origem pode interagir com recursos de outra origem. Pertence à categoria Segurança de aplicações da cibersegurança.
O que significa Politica de mesma origem (SOP)?
Regra de seguranca do navegador que restringe como um documento ou script carregado de uma origem pode interagir com recursos de outra origem.
Como se defender contra Politica de mesma origem (SOP)?
As defesas contra Politica de mesma origem (SOP) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Politica de mesma origem (SOP)?
Nomes alternativos comuns: SOP.