La Política del Mismo Origen (SOP) es un dispositivo de seguridad para ciertos tipos de aplicaciones de navegador en Internet. Cuando se usa una computadora en una red a gran escala como Internet, la posibilidad de sufrir ataques de piratas informáticos y otras entidades maliciosas aumenta drásticamente en comparación con trabajar en redes más pequeñas y aisladas. La política del mismo origen actúa para validar los scripts que se ejecutan en sitios web, evitando que los piratas informáticos establezcan una conexión con una computadora bajo parámetros fraudulentos. Los scripts son simplemente programas o aplicaciones que el sitio web requiere para funcionar.
Al conectarse a un sitio web, la conexión se realiza a través de «puertos» en la computadora. El nombre es bastante descriptivo; los puertos están abiertos o cerrados según las circunstancias, y solo los puertos abiertos son vulnerables a los ataques. Cuando un sitio web solicita una conexión de puerto específico a la computadora, expone la computadora a un grado de riesgo. Mientras el puerto permanezca abierto, otras personas y programas en línea pueden intentar «conectarse» a la computadora a través de la vulnerabilidad. Otras personas y programas también pueden intentar hacerse pasar por el sitio web, solicitando que la computadora abra también otros puertos.
Ahí es donde interviene la política del mismo origen. Piense en la política del mismo origen como un tipo de interrogación virtual constante entre el sitio web que solicita el puerto abierto y una computadora. El sitio web debe “demostrar” constantemente que es quién y qué dice ser, evitando que otros intervengan y aprovechen la conexión abierta en la computadora. La misma política de origen permite la ejecución de scripts solo mientras se originen en el sitio web previsto, satisfaciendo las «preguntas» planteadas por SOP.
Para verificar esto, la misma política de origen verifica tres cosas: el nombre de dominio, el protocolo de la capa de aplicación y los números de puerto específicos del documento o sitio web que ejecuta el script. El nombre de dominio es el nombre específico del sitio web. Suele estar precedido por el prefijo «www». El protocolo de la capa de aplicación es el método de conexión; por ejemplo, Protocolo de transferencia de hipertexto (HTTP) o Protocolo de transferencia de archivos (FTP). Finalmente, el número de puerto es el número específico del puerto a través del cual se realiza la conexión. Si se comprueban estas tres cosas, el script se ejecuta; de lo contrario, SOP evita que funcione.
Como cualquier cosa que involucre computadoras, SOP no es infalible. Ciertos tipos de ataques de piratería, como la vinculación del servidor de nombres de dominio y los proxies, permitirán que un sitio fraudulento se haga pasar por uno legítimo. Es por eso que SOP solo debe considerarse una línea de defensa contra las amenazas en línea.