http://en.wikipedia.org/wiki/Same_origin_policy
Одна и та же политика происхождения не позволяет скрипту с одного сайта разговаривать на другой сайт. В Wiki говорится, что это «важная концепция безопасности», но я не понимаю, какую угрозу она предотвращает.
Я понимаю, что файлы cookie с одного сайта не должны использоваться совместно с другим, но это может (и будет) применяться отдельно.
Стандарт CORS http://en.wikipedia.org/wiki/Cross-Origin_Resource_Sharing обеспечивает легитимную систему для обхода той же политики происхождения. По-видимому, он не допускает любых угроз, которые должна блокировать та же политика происхождения.
Глядя на CORS, я еще менее понимаю, кто от чего защищается. CORS обеспечивается браузером, поэтому он не защищает ни один из сайтов от браузера. И ограничения определяются сайтом, с которым скрипт хочет общаться, поэтому похоже, что он не защищает пользователя ни от одного из сайтов.
Итак, для чего же применяется одна и та же политика происхождения?