В той же политике происхождения хост должен точно совпадать (как и протокол и порт, но это в стороне). Если подходящего суффикса может быть достаточно, foo.com будет считаться "тем же источником", что и bar.com, или fie.co.uk таким же, как flap.co.uk и т. Д., Полностью разрушая цель политики.
Я понимаю, что вы думаете о www.blah.com как о "более связанном" с whatever.blah.com, чем примеры, которые я привел, но это просто не тот случай - подумайте о множестве доменов something.appspot.com, на которых работают приложения Google App Engine из множества например, разных авторов, абсолютно не связанных между собой.