Какова модель угроз для той же политики происхождения?

http://en.wikipedia.org/wiki/Same_origin_policy

Одна и та же политика происхождения не позволяет скрипту с одного сайта разговаривать на другой сайт. В Wiki говорится, что это «важная концепция безопасности», но я не понимаю, какую угрозу она предотвращает.

Я понимаю, что файлы cookie с одного сайта не должны использоваться совместно с другим, но это может (и будет) применяться отдельно.

Стандарт CORS http://en.wikipedia.org/wiki/Cross-Origin_Resource_Sharing обеспечивает легитимную систему для обхода той же политики происхождения. По-видимому, он не допускает любых угроз, которые должна блокировать та же политика происхождения.

Глядя на CORS, я еще менее понимаю, кто от чего защищается. CORS обеспечивается браузером, поэтому он не защищает ни один из сайтов от браузера. И ограничения определяются сайтом, с которым скрипт хочет общаться, поэтому похоже, что он не защищает пользователя ни от одного из сайтов.

Итак, для чего же применяется одна и та же политика происхождения?