Sto cercando di capire meglio la stessa politica di origine. Da quello che capisco, la stessa politica di origine limita il codice da una "origine" non ad accedere ai dati da un'altra "origine". Quello che sto cercando di capire è il contesto di questo codice. Posso vedere che il codice su due schede (example1.com e example2.com) non può accedere ai dati nel DOM dell'altro. Che dire di una pagina che carica il codice da entrambi questi siti? La restrizione / sicurezza è ancora valida in quel caso? Questo è un caso d'uso molto valido poiché ogni sito al giorno d'oggi ha caricato il codice da Twitter, Facebook, Google + per lo meno in aggiunta al codice di example1.com. Quindi il codice di Twitter può accedere ai cookie impostati da example1.com? Oppure la stessa politica di origine è valida anche in questo caso?
Naturalmente in questo caso presumo che il codice sia caricato da Twitter, Facebook direttamente e non trasmesso dal server example1.com. Sto anche indovinando il pericolo di XSS esiste se il example1.com sta trasmettendo il codice per Twitter, Facebook ecc. Ho ragione?
Se ho ragione, in che modo il browser separa i dati dom per il codice caricato da ciascun sito quando sono tutti caricati nella stessa pagina? Come tiene traccia di quali dati è possibile accedere a quale codice?