Entiendo totalmente la base de la política de origen y el razonamiento por el que todos los navegadores modernos han implementado esta política.
Supongo que mi pregunta es si los navegadores antiguos lo admiten, y si no lo hacen, ¿podría significar que las personas pueden crear solicitudes AJAX y dirigir estas solicitudes a mi sitio web utilizando un navegador más antiguo?
La razón por la que pregunto es porque no quiero que nadie actualice mi sitio web con solicitudes de AJAX.
La política del mismo origen es una restricción impuesta por el cliente. Ciertamente, es posible que un cliente en particular no aplique esta restricción. Tenga en cuenta que al hacerlo, el cliente no cumplirá con los estándares de W3C para la API XMLHttpRequest y comportamiento iframe .
Tenga en cuenta que cualquier programa que pueda formular una solicitud HTTP puede enviar una solicitud a su sitio. El peligro de violar la política del mismo origen es para usuarios , no para su sitio. Ajax solicita el envío de cookies de autenticación, por lo que si un sitio externo pudiera, por ejemplo, obtener el contenido de mail.google.com mientras su navegador está conectado a Gmail, ese sitio extranjero podría leer su correo. El riesgo no es que una solicitud de origen cruzado pueda llegar a su sitio, sino que una respuesta de su sitio puede ser leída por un sitio de origen cruzado.
Por ejemplo, cualquiera puede lanzar un ataque contra un sitio con netcat haciendo repetidamente algo como:
echo "GET /index.html HTTP / 1.0" | nc example.com 80
inundando así el sitio con solicitudes TCP de que cada una contenga una solicitud HTTP. De hecho, es más fácil (más fácil) hacer lo mismo con cualquier herramienta dedicada para enviar solicitudes HTTP como cURL o wget.
Si he entendido mal tu pregunta y realmente te preocupa el usuario: Wikipedia hace la reclamación sin fuente que Netscape Navigator 2.0 (lanzado hace 18 años) era compatible con el SOP y este mensaje del foro de ayuda pregunta acerca de cómo sortear el SOP en IE4 (publicado hace 16 años), por lo que podemos estar seguros de que el cumplimiento del SOP ha existido por bastante tiempo; cualquier navegador que tenga la edad suficiente para omitir la aplicación de SOP probablemente tenga muchos otros agujeros importantes, y es probable que no deba dedicar demasiado esfuerzo para proteger a los usuarios que utilizan un navegador con décadas de antigüedad.
El objetivo de la política del mismo origen es proteger al usuario ( cliente) y no tú (el servidor). Por lo tanto, es irrelevante en este caso. Los atacantes pueden usar herramientas como wget , cURL , e incluso simplemente inyecte JavaScript personalizado en los navegadores modernos utilizando herramientas disponibles como Herramientas para desarrolladores .
Por lo tanto, no importa si los navegadores antiguos tienen ciertos comportamientos o no, es probable que un atacante no use un navegador en absoluto.
Todas las reglas y restricciones de velocidad deben aplicarse en el lado del servidor.
Lea otras preguntas en las etiquetas denial-of-service javascript same-origin-policy ajax