Ответ 1
HTML может загружаться из любого места, где он нравится, а другой script работает на странице, которая не может получать документы из другого источника.
Является API-интерфейсом API Google AJAX в обход той же политики происхождения?
От: https://developer.mozilla.org/En/Same_origin_policy_for_JavaScript
The same origin policy prevents a document or script loaded from one origin from getting or setting properties of a document from another origin. This policy dates all the way back to Netscape Navigator 2.0.
Итак, почему не применяется одна и та же политика происхождения?, когда есть тег script, как это:
<script src="http://ajax.googleapis.com/ajax/libs/jquery/1.3.2/jquery.min.js"></script>
Я уверен, что мне не хватает "чего-то", я читал
http://code.google.com/p/browsersec/wiki/Part2#Same-origin_policy
кучу раз, но не могу понять...
Ответы
Ответ 2
Теги <script> являются исключением из этого правила. Странице разрешено "приглашать" script с другого сервера, и это считается ОК.
(Вся экономика интернет-рекламы на странице основана на том, что это разрешено! Хотя это и представляет угрозу безопасности, она не скоро изменится.)
Ответ 3
Сценарии не являются документами. Они запускаются в контексте документа, который включает элемент <script>.