O Google Ajax Libraries API está ignorando a mesma política de origem?

Question

A partir de: https://developer.mozilla.org/En/Same_origin_policy_for_JavaScript

The same origin policy prevents a document or script loaded from one  
origin from getting or setting properties of a document from another origin.
This policy dates all the way back to Netscape Navigator 2.0.

Então, por que não é a mesma política de origem aplicada?, Quando uma tag de script como esta:

<script src="http://ajax.googleapis.com/ajax/libs/jquery/1.3.2/jquery.min.js"></script>

Tenho certeza de que estou perdendo 'algo', eu li
http://code.google.com/p/browshersec/wiki/Part2#same-origin_policy
um monte de vezes, mas não consigo descobrir ...

Answer 1

HTML pode carregar de onde quiser, é outro roteiro executando na página que não pode buscar documentos de outra origem.

Answer 2

<script> Tags são uma exceção a esta regra. Uma página pode "convidar" um script de outro servidor, e isso é considerado OK.

(Toda a economia da Internet - publicidade na página - se baseia nisso! Embora represente um risco de segurança, não mudará tão cedo.)

Answer 3

Scripts não são documentos. Eles correm no contexto do documento que inclui o <script> elemento.