Von hier aus: https://developer.mozilla.org/en/Same_origin_policy_for_JavaScript
Die Same Origin Policy verhindert, dass ein Dokument oder Skript geladen von einer Herkunft von Abrufen oder Festlegen Eigenschaften eines Dokument von einer anderen Herkunft. Diese Richtlinie gibt den gesamten Weg zurück zu Netscape Navigator 2.0.
und erklärte etwas anders hier: http://docs.sun.com/source/816-6409-10/sec.htm
Die Same Origin Policy arbeitet als folgt: Wenn ein Dokument aus einem Ursprung Laden ein Skript aus einer unterschiedlichen Herkunft geladen nicht oder eingestellt bekommt spezifische Eigenschaften bestimmter Browser- und HTML-Objekte in einem Fenster oder Frame (siehe Tabelle 14.2).
Das Facebook-Skript versucht nicht, mit Skript aus Ihrer Domäne zu interagieren oder DOM-Objekte zu lesen. Es wird nur einen eigenen Beitrag zu Facebook machen. Es ruft den Site-Namen ab, nicht durch Interaktion mit Ihrer Seite oder Skript von Ihrer Site, sondern weil das Skript selbst beim Ausfüllen des Formulars generiert wird, um den "Gefällt mir" -Button zu erhalten. Ich registrierte eine Seite mit dem Namen "http://www.bogussite.com" und bekam den Code, den ich auf meiner Website veröffentlichen sollte. Die erste Think in diesem Code war
iframe src="http://www.facebook.com/plugins/like.php?href=http%3A%2F%2Fwww.bogussite.com&
so wird das Skript deutlich Ihre Website Informationen von hartcodierte URL-Parametern in dem Link zu dem iFrame bekommen.
Die Facebook-Website ist bei weitem nicht allein, wenn Sie Skripts verwenden, die auf ihren Servern gehostet werden. Es gibt viele andere Skripts, die auf diese Weise funktionieren. Für alle Google APIs, z. B. Google Gears, Google Analytics usw., müssen Sie ein Skript verwenden, das auf ihrem Server gehostet wird. Erst letzte Woche, während ich versuchte, herauszufinden, wie man Geolocation für unseren Store-Finder für eine mobilfreundliche Web-App macht, fand ich eine ganze Reihe von Geolocation-Diensten, bei denen man Skripte auf ihren Servern gehostet hatte, anstatt das Skript zu kopieren zu deinem Server.
Ich dachte, die gleiche Herkunft Politik ist, wenn die HTML-Seite kommt von www.foo.com, und es enthält ein Skript von www.bar.com, dann Datenerfassung mit Javascript ist nur auf www.foo.com aber begrenzt nirgendwo sonst. –