La política del mismo origen es una restricción impuesta por el cliente. Ciertamente, es posible que un cliente en particular no aplique esta restricción. Tenga en cuenta que al hacerlo, el cliente no cumplirá con los estándares de W3C para la API XMLHttpRequest y comportamiento iframe .
Tenga en cuenta que cualquier programa que pueda formular una solicitud HTTP puede enviar una solicitud a su sitio. El peligro de violar la política del mismo origen es para usuarios , no para su sitio. Ajax solicita el envío de cookies de autenticación, por lo que si un sitio externo pudiera, por ejemplo, obtener el contenido de mail.google.com
mientras su navegador está conectado a Gmail, ese sitio extranjero podría leer su correo. El riesgo no es que una solicitud de origen cruzado pueda llegar a su sitio, sino que una respuesta de su sitio puede ser leída por un sitio de origen cruzado.
Por ejemplo, cualquiera puede lanzar un ataque contra un sitio con netcat haciendo repetidamente algo como:
echo "GET /index.html HTTP / 1.0" | nc example.com 80
inundando así el sitio con solicitudes TCP de que cada una contenga una solicitud HTTP. De hecho, es más fácil (más fácil) hacer lo mismo con cualquier herramienta dedicada para enviar solicitudes HTTP como cURL o wget.
Si he entendido mal tu pregunta y realmente te preocupa el usuario: Wikipedia hace la reclamación sin fuente que Netscape Navigator 2.0 (lanzado hace 18 años) era compatible con el SOP y este mensaje del foro de ayuda pregunta acerca de cómo sortear el SOP en IE4 (publicado hace 16 años), por lo que podemos estar seguros de que el cumplimiento del SOP ha existido por bastante tiempo; cualquier navegador que tenga la edad suficiente para omitir la aplicación de SOP probablemente tenga muchos otros agujeros importantes, y es probable que no deba dedicar demasiado esfuerzo para proteger a los usuarios que utilizan un navegador con décadas de antigüedad.