¿Hay otras cosas que utilizan la política del mismo origen?
Todo acceso de origen cruzado está sujeto a la política del mismo origen. Pero no hay una sola regla una que se aplique por igual a todos los métodos de interacción.
Es posible que encuentre útil la distinción entre escrituras , lecturas y incrustación de origen cruzado.
Acceso a la red de origen cruzado
La política del mismo origen controla las interacciones entre dos orígenes diferentes, como cuando se usa XMLHttpRequest
o un elemento <img>
. Estas interacciones generalmente se ubican en tres categorías:
- Por lo general, las escrituras de origen cruzado están permitidas. Los ejemplos son enlaces, redirecciones y envíos de formularios. Ciertas solicitudes HTTP que rara vez se utilizan requieren verificación previa.
- Por lo general, se permite la incrustación de origen cruzado. Los ejemplos se enumeran a continuación.
- Las lecturas de origen cruzado generalmente no están permitidas, pero el acceso de lectura a menudo se filtra mediante incrustaciones. Por ejemplo, puede leer el ancho y el alto de una imagen incrustada, las acciones de un script incrustado o la disponibilidad de un recurso incrustado.
Aquí hay algunos ejemplos de recursos que pueden estar incrustados de origen cruzado:
- JavaScript con
<script src="..."></script>
. Los mensajes de error para los errores de sintaxis solo están disponibles para los scripts del mismo origen.
- CSS con
<link rel="stylesheet" href="...">
. Debido a las relajadas reglas de sintaxis de CSS, el CSS de origen cruzado requiere un encabezado de tipo de contenido correcto. [...]
(Source)
La incrustación de origen cruzado es la interacción más incómoda de controlar. Desea mantener los orígenes separados pero también desea brindar a los usuarios una experiencia de navegación perfecta. Es por eso que las imágenes incrustadas de origen cruzado inevitablemente pierden sus dimensiones y los marcos de origen cruzado son potencialmente vulnerables al clickjacking .
¿Sería mejor considerarlo como "Cualquier cosa que no sea script
de las etiquetas usa una política del mismo origen"?
Como puede ver, la política del mismo origen también se aplica a los scripts. Un documento puede incrustar un script de origen cruzado y trabajar con sus funciones y variables globales, pero no puede leer todo el código fuente del script o detectar sus errores. La capacidad de integrar scripts de origen cruzado y hojas de estilo ha dado lugar a vulnerabilidades como cross- inclusión de scripts en el sitio (XSSI) .