私はSame Origin PolicyとCSRFについて考えてきましたが、なぜ Web ブラウザー開発者がより単純なソリューションを使用しないのか、自分自身では答えられませんでした。
クロス ドメイン スクリプトを禁止する代わりに、どのサイトへのアクセスも許可できないのに、Cookie jar が空の場合はなぜですか? (または、現在のドメインの Cookie のみを含む Cookie jar)
どのタグ (img、script など) についても同じです。
Cookie を使用しないアクセスがある場合、どのような CSRF を実行できますか?
現在のドメインのCookieのみを含むCookiejarについて:現在のドメインのCookieには、たとえばセッション情報が含まれている場合があります。この情報は、ネットワークを介して送信され、セッションハイジャックが発生する可能性があります(たとえば)。
スクリプトにCookie情報が含まれていなくても、Webサイトに他の機密情報が存在する可能性があり、おそらくDOMを通じて表示されます。その後、この情報をドメイン間でアップロードできます。
ちなみに、同一生成元ポリシーが悪意のあるハッカーを阻止するために実際に何もしていないと思います。あなたが言ったように、imgとスクリプトはリクエストを出すことができます。404を返すサーバーを実行できますが、GETリクエストのログを保持します(例:maliciouswebsitehere.com/fake404.html?bankaccountnumber=34398439843983&otherinformation=blah)