或曰:静的 Web コンテンツ作成・配信環境を見てて、 Disqusの所がsame originじゃなさそうでは? と思い最近のその辺の事情どうなってるのかなぁ、とググっててMDN: Cross-Origin Resource Sharingを読むなど。 これが使われているかは知らないけれど(知ってる人いたら教えて)。

サーバー側で受け取る側を絞れる仕組みなのか。 これではこっそりスクリプトをinjectされてデータが盗まれるケースには対応出来ていない気もするが、 そのケースはヘッダ以外はもともとimgタグとかで送る事は出来ていたから大差無い、という事なのかしらね。

この仕組みで外部の悪意あるサイトを訪問した時に普段使ってる正規のサービスのAPIを叩かれる、みたいなのは防げそうな気はする。