No soy un desarrollador web, pero he leído acerca de la importancia de la misma política de origen (SOP) y el Intercambio de recursos de origen cruzado (CORS). No puedo encontrar estudios o mejores prácticas relacionadas con el origen en sí. Según tengo entendido, en un entorno en el que hay cientos de aplicaciones que son susceptibles de tener interacciones, una convención de nomenclatura incorrecta puede provocar problemas de seguridad o un intercambio de recursos entre orígenes inmanejable.
Ejemplo 1:
mydomain/app1, mydomain/app2, ..., mydomain/app1000
En este escenario, todas las aplicaciones comparten el mismo origen, ¿por lo que todas son tan vulnerables como la más débil?
Ejemplo 2:
app1.mydomain, app2.mydomain, ..., app1000.mydomain
En este escenario, todas las aplicaciones están aisladas y la interacción de configuración a través de CORS puede convertirse en un verdadero desastre.
Ejemplo 3:
app1.pub_app.mydomain, app2.pub_app.mydomain, ...
app1.priv_app.mydomain, app2.priv_app.mydomain, ...
En este escenario, puedo engañar a la configuración de CORS (¿no estoy seguro?) de manera que las aplicaciones dentro del mismo nivel de confianza puedan compartir recursos usando *.priv_app.mydomain o *.pub_app.mydomain ?
Tal vez lo he pensado demasiado y las aplicaciones web no deberían interactuar tanto en un escenario real. De cualquier manera, estaré encantado de recibir alguna información al respecto.