La stessa politica di origine ci protegge da un sito malevolo che manipola i dati sul nostro sito attendibile non consentendo le richieste che invierebbero il cookie auth, ad es. Ma se capisco correttamente le immagini, gli script, ecc. Sono un'eccezione da quella regola.
Vedi per es. qui :
A web page may freely embed images, stylesheets, scripts, iframes, videos.Certain "cross-domain" requests, notably AJAX requests, however are forbidden by default by the same-origin security policy.
Significa che se ho una "immagine segreta" su Facebook (o qualsiasi altra risorsa con autenticazione sessione cookie) qualsiasi sito dannoso che accidentalmente visito sarà in grado di caricare quell'immagine in un tag nascosto, ad es. e leggerlo? Dovrebbero sicuramente conoscere l'url, ma per molti siti può essere facile come indovinare gli id (o enumerarli 1,2,3 ...).
Questo non mi sembra sicuro. Mi manca un punto qui? Sembra che l'auto-invio di cookie per tutte le richieste e i cookie in generale sia solo un male per la sicurezza (non per gli annunci, sebbene siano strongmente basati su questa funzione "carina" se non ricordo male).
Dovrebbe essere anche peggio per iframe (se puoi incorporare e leggere dati da una banca iframe, ad esempio), quindi in qualche modo deve essere protetto.