Недавно я видел упоминание XSSI на нескольких страницах, например Взломы и защита веб-приложений :
Браузеры не позволяют страницам одного домена читать страницы в других доменах. Но они не мешают страницам домена ссылаться на ресурсы в других доменах. В частности, они позволяют визуализировать изображения из других доменов и запускать скрипты из других доменов. Включенный сценарий не имеет собственного контекста безопасности. Он работает в контексте безопасности страницы, на которой он был размещен. Например, если www.evil.example.com включает сценарий, размещенный на www.google.com, то этот сценарий выполняется в контексте зла, а не в контексте Google. Таким образом, любые пользовательские данные в этом сценарии будут «протекать».
Я не вижу, какие проблемы безопасности это создает на практике. Я понимаю XSS и XSRF, но XSSI для меня немного загадочен.
Может ли кто-нибудь набросать эксплойт на основе XSSI?
Спасибо