Da qui: https://developer.mozilla.org/en/Same_origin_policy_for_JavaScript
La stessa politica di origine impedisce un documento o script caricato da un origine da ottenere o impostare proprietà di un documento da un altro origine. Questa politica è valida fino al in Netscape Navigator 2.0.
e spiegato in modo leggermente diverso qui: http://docs.sun.com/source/816-6409-10/sec.htm
La stessa politica di origine funziona come segue: quando si carica un documento da un origine, uno script caricati da un'origine diversa non può ottenere o impostare proprietà specifiche di specifici oggetti e oggetti del browser in una finestra o frame (vedere la Tabella 14.2).
Lo script di Facebook non sta tentando di interagire con lo script dal dominio o la lettura di oggetti DOM. Farà il proprio post su Facebook. Diventa il nome del tuo sito, non interagendo con la tua pagina o script dal tuo sito, ma perché lo script stesso viene generato quando compili il modulo per ottenere il pulsante "Mi piace". Ho registrato un sito chiamato "" e ho ottenuto il codice da inserire nel mio sito web. Il primo che in questo codice era
iframe src="http://www.facebook.com/plugins/like.php?href=http%3A%2F%2Fwww.bogussite.com&
modo lo script è chiaramente ottenere il vostro sito informazioni parametri URL hard-coded nel link al iFrame.
Il sito Web di Facebook non è di gran lunga il solo a dover utilizzare script ospitati sui propri server. Esistono molti altri script che funzionano in questo modo. Tutte le API di Google, ad esempio, inclusi Google Gears, Google Analytics e così via, richiedono l'utilizzo di uno script ospitato sul proprio server. Proprio la scorsa settimana, mentre cercavo di capire come fare la geolocalizzazione per il nostro store finder per un'app web mobile-friendly, ho trovato un sacco di servizi di geolocalizzazione che ti facevano usare script ospitati sui loro server, piuttosto che copiare lo script al tuo server.
Ho pensato che la stessa politica di origine sia, se la pagina HTML proviene da www.foo.com e include uno script da www.bar.com, quindi il recupero dei dati utilizzando Javascript è limitato solo a www.foo.com ma non altrove. –