No estoy familiarizado con Javascript, pero quiero saber qué es lo que no se puede hacer en estos pasos para omitir el SOP y extraer datos confidenciales:
- establece la etiqueta
<script src="https://facebook.com/messages"></script>
- el navegador recupera el contenido de
https://facebook.com/messages
- el navegador, pensando que es un código JS, coloca el contenido HTML dentro de la etiqueta
<script>
- otra parte del código JS obtiene el contenido de la etiqueta
<script>
y lo envía al servidor del atacante