Недавно я заметил, что XSSI упоминается на нескольких страницах, например. Эксплуатация и защита веб-приложений:
Браузеры не позволяют страницам одного домена читать страницы в других доменах. Но они не препятствуют тому, чтобы страницы домена ссылались на ресурсы в других доменах. В частности, они позволяют отображать изображения из других доменов и сценариев, которые должны выполняться из других доменов. Включенный script не имеет собственного контекста безопасности. Он работает в контексте безопасности страницы, которая включала его. Например, если www.evil.example.com включает script, размещенную на www.google.com, тогда script работает в злом контексте, а не в контексте google. Таким образом, любые пользовательские данные в этом script будут "течь".
Я не вижу, какие проблемы безопасности возникают на практике. Я понимаю XSS и XSRF, но XSSI для меня немного загадочна.
Может ли кто-нибудь набросать эксплойт на основе XSSI?
Спасибо