Same-Origin Policy (SOP)

Политика одинакового источника (same-origin policy) определяет как документ или скрипт, загруженный из одного источника (origin), может взаимодействовать с ресурсом из другого источника. Это помогает изолировать потенциально вредоносные документы, снижая количество возможных векторов атак.

Это механизм браузера.

Одинаковый источник определяется по множеству: (протокол, домен, порт).

Контент из about:blank и javascript: наследуют источник документа (origin родителя), содержащего этот URL, поскольку они не содержат информации о сервере происхождения.

Скрипт или страница могут изменить свой домен в проверке origin на домен более высокого уровня: test.www.example.com -> www.example.com.

Статья: https://developer.mozilla.org/ru/docs/Web/Security/Same-origin_policy

Чтобы настроить взаимодействие между origins, надо настроить CORS.

Чтобы ограничить cross-origin доступ на запись — настроить CSRF.

window.postMessage вроде как похер на SOP.

В корпоративных сетях origins определяются по доменам. IE порты не проверяет, только протокол и домен

По умолчанию включен на максимум.