PHP - это технология на стороне сервера, и код выполняется на сервере, а не на компьютере пользователя.
Silverlight - это клиентская технология, работающая на компьютере пользователя.
Если код Silverlight может отправлять произвольные веб-запросы к любому домену, это откроет путь для целого ряда атак с использованием межсайтовых скриптов.
Изображение этого сценария:
Боб заходит на сайт www.OnlineBanking.com и входит в систему, чтобы проверить баланс своего счета. Он покидает этот сайт, перейдя по другому адресу. Он не нажимает кнопку «Выйти», поэтому он все еще находится в системе (в качестве альтернативы он открывает новое окно / вкладку браузера, оставляя банковский сайт по-прежнему открытым).
Боб переходит на evil.com, где находится приложение Silverlight.
Приложение Silverlight загружается и запускается на компьютере Боба.
Это приложение делает веб-запрос на www.OnlineBanking.com/secretaccountdetails.html. Для чтения этого файла требуется проверка подлинности (evil.com не прошел проверку подлинности, поэтому не может получить к нему доступ).
Однако Боб IS прошел проверку подлинности, и запрос был успешно выполнен. Приложение silverlight может читать содержимое этого файла и делать с ним все, что угодно (в том числе отправлять его на evil.com).
Ограничения междоменного запроса в Silverlight предотвращают выполнение описанного выше сценария. Когда приложение Silverlight отправляет запрос на OnlineBanking.com, он проверяет наличие файла междоменной политики, поскольку приложение обслуживалось из другого домена. Так как на сайте OnlineBanking.com нет файла политики, разрешающего междоменные запросы, запрос не выполняется, и приложение Silverlight не может загрузить secretaccountdetails.html.