Same-origin policy
동일-출처 정책(영어: same-origin policy, SOP)는 웹 애플리케이션의 중요한 보안 모델이다.
정책에 따라 웹 브라우저는 첫 번째 웹 페이지에 포함된 스크립트가 두 번째 웹 페이지의 데이터에 액세스하는 것을 허용하지만 두 웹 페이지의 출처가 동일한 경우에만 허용된다. 출처는 URI 체계, 호스트 이름 및 포트 번호의 조합으로 정의된다. 이 정책은 한 페이지의 악성 스크립트가 해당 페이지(DOM)를 통해 다른 웹 페이지의 민감한 데이터에 액세스하는 것을 방지한다.
이 메커니즘은 서버가 HTTP 쿠키 정보를 기반으로 중요한 정보를 공개하거나 상태 변경 작업을 수행하기 때문에 인증된 사용자 세션을 유지하기 위해 HTTPScookies에 광범위하게 의존하는 최신 웹 애플리케이션에 특히 중요하다. 데이터 기밀성 또는 무결성의 손실을 방지하려면 클라이언트 측에서 관련되지 않은 사이트에서 제공하는 콘텐츠를 엄격하게 분리해야 한다.
동일-출처 정책은 주로 스크립트로부터의 데이터 접근에 적용된다. 즉, 일치하는 HTML 태그를 경유하는 이미지, CSS, 스크립트 등 출처를 경유하여 리소스를 임베드하는 것은 제한되지 않는다. (글꼴은 잘 알려진 예외임) 공격은 동일한 출처 정책이 HTML 태그에 적용되지 않는다는 사실을 이용한다.