La misma política de origen nos protege del sitio malintencionado que manipula los datos en nuestro sitio de confianza al no permitir solicitudes que envíen la cookie de autenticación, por ejemplo. Pero si entiendo correctamente, las imágenes, los scripts, etc. son una excepción a esa regla.
ver, por ejemplo, aquí :
Una página web puede insertar imágenes, hojas de estilo, scripts, iframes, videos. Ciertas solicitudes de "dominio cruzado", en particular solicitudes AJAX, sin embargo, están prohibidos de forma predeterminada por la política de seguridad del mismo origen.
Eso significa que si tengo una "imagen secreta" en Facebook (o cualquier otro recurso con autenticación de sesión de cookies), cualquier sitio malicioso que visite accidentalmente podrá cargar esa imagen en una etiqueta oculta, por ejemplo. y leerlo? Definitivamente deberían conocer la url, pero para muchos sitios puede ser tan fácil como adivinar ids (o enumerarlos 1,2,3 ...).
Esto no me suena seguro. ¿Estoy perdiendo un punto aquí? Parece que el envío automático de cookies para todas las solicitudes y las cookies en general es simplemente malo para la seguridad (no para los anuncios, aunque se basan enormemente en esta característica "buena" si recuerdo correctamente).
Debería ser aún peor para iframe (si puede incrustar y leer datos de un iframe del banco, por ejemplo), por lo que tiene que estar protegido de alguna manera.