Почему новый Facebook Javascript SDK не нарушает «политику того же происхождения»?

Новый SDK Facebook Javascript может позволить любому веб-сайту войти в систему как пользователь Facebook и получить данные пользователя ...

Так и будет, www.example.com, включая некоторый Javascript из Facebook, но, насколько я помню, этот скрипт считается источником www.example.com и не может получать данные с facebook.com, потому что это нарушение «политики одного и того же происхождения». Разве т что правильно? Если да, то как сценарий извлекает данные?