¿La API de bibliotecas AJAX de Google omite la misma política de origen?

Question

Desde: https://developer.mozilla.org/En/Same_origin_policy_for_JavaScript

The same origin policy prevents a document or script loaded from one 
origin from getting or setting properties of a document from another origin. 
This policy dates all the way back to Netscape Navigator 2.0.

¿Por qué no es la misma política de origen forzada ?, cuando una tiene una etiqueta de script como este:

<script src="http://ajax.googleapis.com/ajax/libs/jquery/1.3.2/jquery.min.js"></script>

Estoy seguro de que me falta 'algo', he leído
http://code.google.com/p/browsersec/wiki/Part2#Same-origin_policy
un montón de veces, pero no puedo averiguar ...

Answer 1

HTML puede cargar desde donde quiera, es otra secuencia de comandos ejecutándose en la página que no puede obtener documentos de otro origen.

Answer 2

scripts no son documentos. Se ejecutan en el contexto del documento que incluye el elemento <script>.

Answer 3

Las etiquetas <script> son una excepción a esta regla. Una página puede "invitar" a un script desde otro servidor, y eso se considera correcto.

(Toda la economía de Internet - en la página de publicidad - se basa en lo cual se permitió Aunque sí representa un riesgo de seguridad, que no va a cambiar a corto plazo.)