Puedo entender por qué el contenido de diferentes dominios se considera sin confianza para la misma política de origen. Pero, ¿cómo puede ser peligroso el contenido de diferentes protocolos del mismo sitio / dominio?
¿Alguien puede dar un ejemplo de una situación en la que esto pueda ser un problema de seguridad?
Para comenzar, un ORIGEN se compone de Protocolo + ResourcePath + Port, por lo que http: // es diferente a https: //.
La razón por la que el protocolo se incluye en el origen es porque el documento / recurso se entrega, potencialmente, desde un sistema completamente diferente. HTTPS usa el puerto 443 por defecto, el puerto HTTP 80 por defecto. Además, aunque puede transferir un archivo de texto sin formato a través de FTP (puerto 21) HTTP (puerto 80), HTTP (puerto 443), etc., cada uno de estos protocolos tiene protecciones y controles muy diferentes en su lugar.
La preocupación por la seguridad proviene principalmente de cuestiones relacionadas con la procedencia. Gran palabra, lo sé. Esto significa, simplemente, que el contenido servido en el puerto 443 se CONOCE que se originó en el lugar que lo dice. Tiene un certificado que lo demuestra, ese certificado está vinculado a un nombre de dominio en particular, y si no se han producido shenaningans y el método se ha utilizado correctamente, puede estar realmente seguro de que el contenido servido a través de HTTPS provino de quien esperaba. viene de. Esto no es lo mismo para el contenido que viene del puerto 80 a través de HTTP. De hecho, HTTP fue diseñado para permitir que los puntos intermedios se almacenen en caché y, de hecho, modificar los datos en su camino hacia usted.
Debido a estas diferencias, se ve que el contenido servido desde diferentes protocolos está dentro de dominios de confianza separados, que no necesariamente confían en la seguridad del otro. Por ejemplo, supongamos que ve una página web que ofrece contenido a través de HTTPS (HTML) y contenido a través de HTTP (los guiones de publicidad e imágenes). El origen cruzado evita que los objetos de menor confianza (publicidad) lean contenidos de mayor confianza (el saldo de su cuenta bancaria).
CORS, en su núcleo (jaja) se remonta al modelo de Bell - La Padula, que se usa ampliamente en la actualidad para separar la autorización de baja seguridad de las interacciones de autorización de alta seguridad.
Lea otras preguntas en las etiquetas tls http same-origin-policy