من درک می کنم که SOP XSS را به خودی خود مانع نمی کند، مثلا: اگر کسی یک اسکریپت مثل هشدار ("bla-bla") را تزریق کند، آن هم اعدام خواهد شد.
اما من می خواهم تأیید کنم اگر SOP به درستی پیکربندی شده باشد (Access-Control-Allow-Origin تنها یک لیست از دامنه های قابل اعتماد است)، پس از آن یک مهاجم قادر نخواهد بود به ارسال کند [بااستفادهازAJAX بازیابی شده توسط اجرای اسکریپت XSS؟ معنی این که SOP به طور صحیح پیکربندی شده امکان کاهش XSS را دارد؟
آیا درست است؟
با تشکر از شما