Причины междоменных политик - это не просто файлы cookie / сеансы как таковые. В те дни, когда веб-контент представлял собой просто «тупой» HTML и изображения, реальной проблемы безопасности не было, если на сайте B отображалась страница, загруженная изображениями с сайта A. И если была проблема, не связанная с безопасностью (например, желание предотвратить хотлинкинг) по причинам IP) обслуживающий сайт может потребовать сеанса или тому подобного. Но теперь, когда веб-ресурсы включают в себя сценарии, такие как Flash, SilverLight, JS, iFrames и двоичные потоки (которые могут быть любыми), если эти ресурсы остаются доступными для сценариев при отображении на странице с другого сайта, угрозы безопасности слишком велики.
Таким образом, междоменные политики в основном отражают уступку в том, что нецелесообразно ожидать, что сайты «откажутся» от таких рисков, вручную блокируя доступ к активным ресурсам (так они и должны делать, если хотят заблокировать изображения с горячей ссылкой или требуют сеанс для определенных страниц). Бремя преобразуется по умолчанию в более безопасный случай, так что обслуживающий сайт должен «согласиться» с таким риском, определенно выбрав, какие активы сделать доступными для нескольких доменов, а кому сделать их доступными.