Al leer los ataques XSS en la wiki veo que dice que un script inyectado podría enviar datos / cookies al sitio de los atacantes. ¿Cómo se logra esto? ¿No hay controles / restricciones en las solicitudes de origen cruzado como esta desde un navegador? Pensé que la especificación CORS se hizo específicamente para este propósito y el sitio original debe establecer los sitios "auxiliares" en el encabezado Access-Control-Allow-Origin. ¿Me estoy perdiendo algo o no es necesario? ¿Puedo hacer una publicación HTTP en cualquier servidor desde cualquier página?
EDITAR: Creo que respondí mi propia pregunta aquí. La secuencia de comandos inyectada puede recuperar el código del sitio de los atacantes y, por lo tanto, ejecutarlo dentro del código del sitio original. Eso hace que el sitio de los atacantes esté bien para publicar. ¿Es esto correcto? Cualquier otra información bienvenida.