Почему CDN или внешний файл JavaScript работает на веб-сайте?

Во-первых, мне неловко, что я этого не знаю. Я знаю, что это работает, но не знаю, почему. Есть кое-что, чего я до сих пор не понимаю о CDN и подобных вещах, таких как Google Analytics или AdSense.

Если эти сценарии поступают из домена, отличного от домена вашего сайта, как все это связано с той же политикой происхождения (SOP) и межсайтовыми сценариями (XSS)? Насколько я понимаю о XSS и SOP, эти сценарии просто не должны иметь возможность запускать или взаимодействовать с DOM на вашем сайте. Почему им предоставлены особые привилегии? И чем эти особые привилегии отличаются от других внешних скриптов, которые вызывают ошибки в браузерах из-за XSS и SOP?

Вкратце, я хочу знать, почему скриптам из другого домена разрешено запускать, взаимодействовать с моим сайтом и манипулировать им?