我认为最好回答您的问题的示例,为什么这太糟糕了。
您转到我的网站(example.org)。我加载了一个脚本,该脚本向facebook.com/messages/from/yourgirlfriend发出客户端AJAX请求。您碰巧登录了facebook,浏览器告诉Facebook我的请求实际上是您。Facebook很高兴向我发出请求,告知您您想尝试的奇怪性行为的消息。我现在知道有关您的事情,您可能不想让我知道。
当然,这是一个疯狂的夸张,而且由于相同的原产地政策,这是不可能的。
你现在不觉得安全吗?
