JavaScript ha pieno accesso al modello di oggetto documento, quindi almeno in teoria potrebbe catturare ciò che si trova sulla propria pagina Web (ma non nulla al di fuori della finestra del browser) e c'è una libreria per farlo: link (non l'ho provato).
La politica della stessa origine impedisce a JavaScript di accedere al DOM di un altro sito. Poiché JavaScript non può accedere al DOM di un altro sito, non può perdere materiale dall'altro sito. Quindi, se la tua domanda si riduce a se uno script in esecuzione in una scheda, o anche in un iframe, può acquisire la password bancaria da altrove nel browser, quindi no, se la stessa origine è correttamente implementata nel browser stesso.
La stessa origine si applica al dominio da cui è stata servita la pagina , non da cui è stato pubblicato lo script. Quindi, la mia pagina link (non è interessante) può caricare uno script da google-analytics.com, come fa, e quello script ha accesso al DOM della pagina da cui è stato caricato; può anche inviare materiale a Google attraverso un po 'di gioco di prestigio. Il punto è che può farlo solo perché mi sono fidato di Google Analytics abbastanza per caricare il loro script nella mia pagina; il codice che carica la pagina è in markup che ho scritto. Se carichi la mia pagina nel tuo browser, quello script di google-analytics.com può vedere solo il DOM della pagina mia nel tuo browser e non qualsiasi altra cosa che potresti aver aperto nel tuo browser.