クロスドメインのajaxリクエストは拒否されますが、これで回避できます。
$(document).ready(function () {
var data = ...;
$('<img>').attr('src', 'http://domain.com?data=' + escape(data)).appendTo('body');
});
したがって、本当に必要な場合は、別のドメインにデータを送信できます。また、同じ方法でデータを取得できますが、ロード時に、たとえばキャンバス上でデータを移動してからピクセルを読み取ることができます。
では、この制限のポイントは何であり、何から節約できるのでしょうか。
別のドメインからの画像の場合、JavaScriptで画像のピクセルを読み取ることはできません。だからあなたは何も回らなかった。
サーバーの協力なしに、ページは別のドメインからの何かを操作したり、読み取ったりすることはできません。これにより、ユーザーは多くの操作(google XSS攻撃)から保護されます。
では、この制限のポイントは何であり、何から節約できるのでしょうか。
重要なのは、サイトがリモートサイトからデータを読み取らないようにすることであり、データの送信を妨げることではありません。
たとえば、ブラウザを銀行に移動させてアカウントの詳細を取得し、Webサーバーに送信することはできません。
同一生成元ポリシーは、サーバーに送金するリクエストを送信することを妨げるものではありませんが、サイトがCSRF攻撃に対する防御を実装する必要があるのはそのためです。