Здравствуйте, Doom100500, Вы писали:

D>Инфомация, конечно очень интересная, но всё-же там:
D>https://developer.mozilla.org/en-US/docs/Web/Security/Same-origin_policy
Там не описано, что защищает Same-origin policy только как управлять этим. Но там ссылочки есть нужные.

D>Я не нашёл упоминания о доступе к документу из скрипта.
https://code.google.com/archive/p/browsersec/wikis/Part2.wiki#Same-origin_policy

Same-origin policy for DOM access

With no additional qualifiers, the term "same-origin policy" most commonly refers to a mechanism that governs the ability for JavaScript and other scripting languages to access DOM properties and methods across domains (reference). In essence, the model boils down to this three-step decision process:

If protocol, host name, and — for browsers other than Microsoft Internet Explorer — port number for two interacting pages match, access is granted with no further checks.

Any page may set document.domain parameter to a right-hand, fully-qualified fragment of its current host name (e.g., foo.bar.example.com may set it to example.com, but not ample.com). If two pages explicitly and mutually set their respective document.domain parameters to the same value, and the remaining same-origin checks are satisfied, access is granted.

If neither of the above conditions is satisfied, access is denied.

D>И вообще, CORS — это про загрузку ресурсов с сервера, передачу куков, но не про доступ к DOM из скрипта. Может я что-то пропустил, не просвятишь?

Здравствуйте, Doom100500, Вы писали:

D>Инфомация, конечно очень интересная, но всё-же там:
D>Я не нашёл упоминания о доступе к документу из скрипта.
D>https://developer.mozilla.org/en-US/docs/Web/Security/Same-origin_policy
Там не описано, что защищает Same-origin policy только как управлять этим. Но там ссылочки есть нужные.

D>И вообще, CORS — это про загрузку ресурсов с сервера, передачу куков, но не про доступ к DOM из скрипта. Может я что-то пропустил, не просвятишь?

https://code.google.com/archive/p/browsersec/wikis/Part2.wiki#Same-origin_policy

Same-origin policy for DOM access

With no additional qualifiers, the term "same-origin policy" most commonly refers to a mechanism that governs the ability for JavaScript and other scripting languages to access DOM properties and methods across domains (reference). In essence, the model boils down to this three-step decision process:

If protocol, host name, and — for browsers other than Microsoft Internet Explorer — port number for two interacting pages match, access is granted with no further checks.

Any page may set document.domain parameter to a right-hand, fully-qualified fragment of its current host name (e.g., foo.bar.example.com may set it to example.com, but not ample.com). If two pages explicitly and mutually set their respective document.domain parameters to the same value, and the remaining same-origin checks are satisfied, access is granted.

If neither of the above conditions is satisfied, access is denied.

За CORS сам погугли