Hasta ahora pensé que la política del mismo origen se aplicaba a las solicitudes de AJAX utilizando fetch o xmlHttpRequest , pero acabo de enterarme de que los objetos multimedia también usan esta política.
¿Hay otras cosas que usan la política del mismo origen?
¿Podría ser mejor pensar en esto como "cualquier cosa que no sea script de las etiquetas usan políticas del mismo origen"?
¿Hay otras cosas que utilizan la política del mismo origen?
Todo acceso de origen cruzado está sujeto a la política del mismo origen. Pero no hay una sola regla una que se aplique por igual a todos los métodos de interacción. Es posible que encuentre útil la distinción entre escrituras , lecturas y incrustación de origen cruzado.
Acceso a la red de origen cruzado
La política del mismo origen controla las interacciones entre dos orígenes diferentes, como cuando se usa
XMLHttpRequesto un elemento<img>. Estas interacciones generalmente se ubican en tres categorías:
- Por lo general, las escrituras de origen cruzado están permitidas. Los ejemplos son enlaces, redirecciones y envíos de formularios. Ciertas solicitudes HTTP que rara vez se utilizan requieren verificación previa.
- Por lo general, se permite la incrustación de origen cruzado. Los ejemplos se enumeran a continuación.
- Las lecturas de origen cruzado generalmente no están permitidas, pero el acceso de lectura a menudo se filtra mediante incrustaciones. Por ejemplo, puede leer el ancho y el alto de una imagen incrustada, las acciones de un script incrustado o la disponibilidad de un recurso incrustado.
Aquí hay algunos ejemplos de recursos que pueden estar incrustados de origen cruzado:
- JavaScript con
<script src="..."></script>. Los mensajes de error para los errores de sintaxis solo están disponibles para los scripts del mismo origen.- CSS con
<link rel="stylesheet" href="...">. Debido a las relajadas reglas de sintaxis de CSS, el CSS de origen cruzado requiere un encabezado de tipo de contenido correcto. [...]
La incrustación de origen cruzado es la interacción más incómoda de controlar. Desea mantener los orígenes separados pero también desea brindar a los usuarios una experiencia de navegación perfecta. Es por eso que las imágenes incrustadas de origen cruzado inevitablemente pierden sus dimensiones y los marcos de origen cruzado son potencialmente vulnerables al clickjacking .
¿Sería mejor considerarlo como "Cualquier cosa que no sea
scriptde las etiquetas usa una política del mismo origen"?
Como puede ver, la política del mismo origen también se aplica a los scripts. Un documento puede incrustar un script de origen cruzado y trabajar con sus funciones y variables globales, pero no puede leer todo el código fuente del script o detectar sus errores. La capacidad de integrar scripts de origen cruzado y hojas de estilo ha dado lugar a vulnerabilidades como cross- inclusión de scripts en el sitio (XSSI) .
Lea otras preguntas en las etiquetas same-origin-policy ajax