A partir de aquí: https://developer.mozilla.org/en/Same_origin_policy_for_JavaScript
La política del mismo origen impide un documento o script cargado de un origen de obtener o establecer propiedades de un documento de otro origen. Esta política data todo el camino de vuelta a Netscape Navigator 2.0.
y explicó de forma ligeramente diferente aquí: http://docs.sun.com/source/816-6409-10/sec.htm
La política del mismo origen funciona como siguiente manera: cuando se carga un documento del un origen, un guión cargado de un origen diferente, no puede obtener o establecer propiedades específicas del navegador específico y objetos HTML en una ventana o marco (consulte la Tabla 14.2).
La secuencia de comandos de Facebook no intenta interactuar con la secuencia de comandos de su dominio ni leer objetos DOM. Simplemente va a hacer su propia publicación en Facebook. Obtiene su nombre de sitio, no mediante la interacción con su página o el script de su sitio, sino porque el script en sí mismo se genera cuando completa el formulario para obtener el botón "Me gusta". Registré un sitio llamado "http://www.bogussite.com" y obtuve el código para poner en mi sitio web. El primero piensa en este código fue
iframe src="http://www.facebook.com/plugins/like.php?href=http%3A%2F%2Fwww.bogussite.com&
manera que el script se está clara la información de su sitio mediante parámetros de URL no modificables en el enlace con el marco flotante.
El sitio web de Facebook no es el único que hace que utilice scripts alojados en sus servidores. Hay muchas otras secuencias de comandos que funcionan de esta manera ... Todas las API de Google, por ejemplo, como Google Gears, Google Analytics, etc. requieren que uses una secuencia de comandos alojada en su servidor. La semana pasada, mientras intentaba descubrir cómo hacer la geolocalización de nuestro buscador de tiendas para una aplicación web optimizada para dispositivos móviles, encontré una gran cantidad de servicios de geolocalización que le hacían usar scripts alojados en sus servidores, en lugar de copiar el script a tu servidor
Pensé que la misma política de origen es, si la página HTML proviene de www.foo.com, e incluye un script de www.bar.com, entonces la obtención de datos usando Javascript está limitada solo a www.foo.com, pero no en ningún otro lado –