以下问题与此相关问题关于SO。


我对网络安全模型感到困惑。当我通过另一个域上的Ajax调用向脚本发出请求时,同源策略会阻止我。


这很好,但是当脚本标记尝试从外部源加载脚本时,允许。真奇怪。同样适用于< link> 标记,例如我可以从CDN加载引导程序样式表。
我也可以通过javascript 直接将元素注入到DOM中并执行我的脚本。我也可以使用像JSONP这样的技术,所以所有这些都引出了一个问题,同一起源保护我们的是什么。


为什么都是在简单请求被拒绝的情况下应用了放松?