Same Origin Policy (SOP) è un dispositivo di sicurezza per alcuni tipi di applicazioni browser su Internet. Quando si utilizza un computer su una rete su larga scala come Internet, la possibilità di subire attacchi da parte di hacker e altre entità dannose aumenta drasticamente rispetto al lavoro su reti più piccole e isolate. La stessa politica di origine agisce per convalidare gli script in esecuzione sui siti Web, impedendo agli hacker di stabilire una connessione con un computer con parametri fraudolenti. Gli script sono semplicemente programmi o applicazioni che il sito Web richiede per funzionare.
Quando ci si connette a un sito Web, la connessione avviene tramite “porte” sul computer. Il nome è abbastanza descrittivo; le porte sono aperte o chiuse a seconda delle circostanze, solo le porte aperte sono vulnerabili agli attacchi. Quando un sito Web richiede una connessione a una porta specifica per il computer, espone il computer a un certo grado di rischio. Finché la porta rimane aperta, altri individui e programmi online possono tentare di “collegarsi” al computer attraverso la vulnerabilità. Altri individui e programmi possono anche provare a spacciarsi per il sito Web, chiedendo al computer di aprire anche altre porte.
È qui che entra in gioco la stessa politica di origine. Pensa alla stessa politica di origine come un tipo di interrogazione virtuale costante tra il sito Web che richiede la porta aperta e un computer. Il sito web deve costantemente “dimostrare” che è chi e cosa dice di essere, impedendo ad altri di saltare e sfruttare la connessione aperta sul computer. La stessa politica di origine consente l’esecuzione degli script solo a condizione che provengano dal sito Web previsto, soddisfacendo le “domande” poste da SOP.
Per verificare ciò, la stessa policy di origine controlla tre cose: il nome di dominio, il protocollo del livello dell’applicazione e i numeri di porta specifici del documento o del sito Web che esegue lo script. Il nome di dominio è il nome specifico del sito web. Di solito è preceduto dal prefisso “www”. Il protocollo del livello applicazione è il metodo di connessione; ad esempio, HyperText Transfer Protocol (HTTP) o File Transfer Protocol (FTP). Infine, il numero di porta è il numero specifico della porta attraverso la quale avviene la connessione. Se queste tre cose vengono verificate, lo script viene eseguito; in caso contrario, SOP ne impedisce il funzionamento.
Come qualsiasi cosa che coinvolga i computer, SOP non è infallibile. Alcuni tipi di attacchi di hacking come la riassociazione del server dei nomi di dominio e i proxy consentiranno a un sito fraudolento di spacciarsi per legittimo. Ecco perché SOP dovrebbe essere considerata solo una linea di difesa contro le minacce online.