Похоже ты не понимаешь:


Допустим, ты делаешь запрос на домена site.com с домена page.com.
Обозреватель посылает те куки, которые относятся к домену "page.com" на "page.com" (домен site.com не может их видеть)
Сам сайт "page.com" смотрит, есть ли нужные ему куки, если есть, то генерирует страницу для того пользователя, который указан в куках.
Таким образом, домен site.com может получить данные, которые может увидеть только определенный пользователь, и послать себе на сервак , то есть украсть данные.


Написал в общем виде, а то не поймешь.

Добавлено через 11 минут
К примеру:
У пользователя  на mail.ru остались куки.
Он заходит на твой сайт, ты делаешь запрос на mail.ru/..... и получаешь доступ к его письмам. далее посылаешь их себе на сервак.
Тем самым крадешь его письма.

Надеюсь понятно?

Ну да .... двайте запретим запросы на 3ий сервер, а не печеньки ... (в опере кстати, можно запретить пересылку куки через аякс)
идиотизм, не правда ли ... опять же... зачем запрещен механизм запроса на 3ий домен не понятно ...

Это сообщение отредактировал(а) Deja_Vu - 25.12.2008, 13:54