В
блоге гугла есть примеры уязвимостей на javascript. В разделе
Cross-site script inclusion (XSSI) - All your script are belong to us данной статьи есть один пример. Пример (как я понял) говорит о том, что если злоумышленный сайт имеет на своей странице специальный код и подключает js-скрипт с другого сайта, то если пользователь авторизован на этом другом сайте, то злоумышленник имеет возможность получить какие-то данные пользователя, предназначенные для этого другого сайта.
Если кто понял, о чём в статье идёт речь, то объясните, пожалуйста, как это происходит и есть ли способ защиты. Очень запутано выглядит этот способ атаки.