Non ho familiarità con Javascript, ma voglio sapere cosa non può essere fatto in questa procedura per aggirare SOP ed estrarre dati sensibili:
- imposta il tag
<script src="https://facebook.com/messages"></script>
- il browser recupera il contenuto di
https://facebook.com/messages
- il browser, pensando che sia un codice JS, metti il contenuto HTML all'interno di
<script>
tag - un altro pezzo di codice JS ottiene il contenuto del tag
<script>
e lo invia al server dell'attaccante