既然是否允许跨域是浏览器来做判断的，那么有没有可能一些小浏览器绕过了这个限制？

大厂商不会，小厂商无视（不会影响到一般用户）。

@nigelvon 但这个不是明显的安全漏洞么。当然我感觉国内很多直接用webkit内核的厂家应该不会这么蛋疼做这种损人不利己的事。不过脑洞开大点，有没有可能比如说一个有心做黑产的团体，抱着不纯的目的，开发一款浏览器做这种事？

其实。。。APP 就是啊。

脚本跨域有安全问题的,怎么可能绕过

@TakanashiAzusa 不会的，如果对所有域名取消跨域限制，很容易被发现并传播，没有哪个大厂会做这种傻事情。
要做也只针对特定的域名，这样的话没什么普遍危害性，你用他的浏览器，他要留后门太容易了。
只要其他开发者无法利用这些“后门”那就是“安全”的。

跨域最终走到的还是数据层啊。浏览器会判断是不是同一个域名，小厂商留这个后面干什么呢。有什么卵用呢?

chrome可以设置允许跨域,用来调试用,但只是个别浏览器支持没意义啊

只能对自己起作用吧,而且浏览器留这种后门也没什么用吧
我能想到的就是在网页上可以用js采集另外网站的内容了
或者可以随意获取另外网站的cookie了

都有自己的浏览器了，就算想搞些小动作也没必要通过这个，直接用浏览器的进程随便搞就是了。

当然可以做啊，比如360出个浏览器允许任意域的脚本向360 post数据，我觉得是很“正常”的，国内厂商肯定干得出来

部分浏览器存在特权域 可以随便执行指令的

@alex321 不过APP没多少其余网站的内容，应该还算正常吧？。。
@sy1989 不允许跨域这个限制就是浏览器做的啊，我现在的意思是万一某些浏览器本身就有问题呢？
@Karblue 我的意思就是浏览器如果不拦截的话，应该会有安全问题。。
@em70 个人的话确实没太大意义，所以我前面是说有没有可能某个特殊的浏览器产品就是这样的。。
@dorentus @otakustay @virusdefender @xiaojj 我也就开了个脑洞而已，不过web安全这块还不是怎么特别熟悉，所以也说不出个所以然，只是想了下任何站点都可以随意请求其他域名下的内容的话，感觉挺严重的。。

对自己产品有什么好处？没好处不就遵守了

@TakanashiAzusa 楼主可以上乌云搜索下浏览器相关的漏洞寻找安慰。

没必要给第三方提供便利，自己用后门不更好？

在没有发生之前 你讲再多道理也没用 等证实了 别人虽然会说你是预言帝但是八成也是认为你是瞎猜的

所以这话题有意义么？