Debido a que el JavaScript se ejecutará desde un origen diferente, la Política del mismo origen evitará que example.org capturando las cookies de bank.example.com .
Example.org ni siquiera tiene que haber sido comprometido. Un atacante Man-In-The-Middle (llamémosla Mallory) podría haber interceptado una conexión de la víctima (llamémosle Bob) al sitio benigno que Bob visita por http sin formato. p.ej. http://example.org .
Mallory inyecta algo de JavaScript en las respuestas recibidas de example.org que se ejecutarán en el navegador de Bob. Debido a que este JavaScript se recibe de example.org a los ojos del navegador, este JavaScript no puede acceder a las cookies en bank.example.com . Mallory no puede manipular el tráfico a bank.example.com porque esta conexión usa https, y todas las cookies están marcadas como seguras y / o HSTS.
Sin embargo, al usar el ataque CRIME, Mallory puede usar el JavaScript para enviar solicitudes de example.org a bank.example.com y luego monitorear el tráfico de la red. Con suficiente tráfico enviado a bank.example.com , se pueden determinar los valores de las cookies de Bob.