En el pentest de esta semana me econtre un CORS con wildcard por lo que tuve que repasar que es un same origin policy.
Entonces, una de las cosas más básicas de la seguridad web es “Same origin policy”. Esto previene que un script se ejecute si no viene de tu misma pagina.
Como ejemplo si estuvieras en la página web de tu banco y visitaras otra. Si no estuviera esta policy código en la otra página podría interactuar con información del banco (y vaciar tu cuenta ja)
Same origin tiene 3 componentes
- Protocolo http o https por ejemplo
- Host
- Puerto
pd: a tomar en cuenta: CSS va a cargar de donde sea sin hacerle caso a la policy