Política de mesma origem

Em computação, a política de mesma origem é um conceito importante no modelo de segurança de aplicações web. Esta política permite que scripts sejam executados em páginas que se originam do mesmo site - uma combinação de esquema, nome de hospedeiro e número de porta - para acessar o DOM um do outro sem restrições específicas, mas impede acesso a DOM em sites diferentes.^[1] Esta política também se aplica a XMLHttpRequests a menos que o servidor forneça um cabeçalho Access-Control-Allow-Origin (CORS). Notavelmente WebSockets não estão sujeitos a política de mesma origem.

Este mecanismo tem uma importância especial para aplicações web modernas que dependem extensivamente de cookies HTTP para manter sessões de usuário autenticadas, quando os servidores agem baseados na informação de cookie HTTP para revelar informações sensíveis ou tomar ações de mudança de estado. Uma separação rigorosa entre o conteúdo fornecido por sites não relacionados deve ser mantida no lado do cliente para evitar a perda da confidencialidade ou integridade de dados.^[2]

História

O conceito da política de mesma origem remonta ao navegador Netscape Navigator 2 em 1995.^[3] Todos os navegadores modernos implementam alguma forma da Política de Origem Cruzada uma vez que ela é um importante pilar de segurança. As políticas não são obrigadas a corresponder a uma especificação exata mas são frequentemente estendidas para definir grosseiramente limites de segurança compatíveis para outras linguagens de script web, como Adobe Flash ou Adobe Acrobat, ou para mecanismos diferentes da manipulação direta de DOM, como XMLHttpRequest.

Referências

1. «Same origin policy for JavaScript» (em inglês). Mozilla Developers Center. Consultado em 25 de março de 2011
2. «Same Origin Policy» (em inglês). W3C. Consultado em 25 de março de 2011
3. «Segurança» (em inglês). Mozilla Developers Center. Consultado em 25 de março de 2011