Я недавно видел XSSI, упомянутый на нескольких страницах, напримерЭксплуатация и защита веб-приложений:

Браузеры не позволяют страницам одного домена читать страницы в других доменах. Но они не мешают страницам домена ссылаться на ресурсы в других доменах. В частности, они позволяют отображать изображения из других доменов и выполнять сценарии из других доменов. Включенный скрипт не имеет собственного контекста безопасности. Он работает в контексте безопасности страницы, которая его включала. Например, если www.evil.example.com содержит скрипт, размещенный на сайте www.google.com, тогда этот скрипт выполняется в злом контексте, а не в контексте Google. Таким образом, любые пользовательские данные в этом скрипте будут «утекать».

Я не вижу, какие проблемы безопасности это создает на практике. Я понимаю XSS и XSRF, но XSSI немного загадочен для меня.

Кто-нибудь может набросать эксплойт на основе XSSI?

Спасибо