Hallo TS,

CSS und JS dürfen auf der Seite, von der sie geladen wurden, herumtoben. Also HTML Elemente formatieren, das DOM umbauen, mit globalen Variablen herumspielen, ganz normal. Wenn der Browser sie lädt, dürfen sie auch aktiv werden.

Das Namespacing bezieht sich meines Wissens auf AJAX-Zugriffe. Ein JS von origin1, das auf einer Seite von origin2 geladen wird, darf nur AJAX-Zugriffe nach origin1 machen (also Beispiel: google.com/adservices.js auf example.org/werbeschleuder.html darf keinen fetch bei example.org machen, nur bei google.com, und ein Script, das example.org in werbeschleuder.html eingesetzt hat, darf nur was bei example.org fetchen, aber nicht bei google.com.

Man kann weitergehende Zugriffe erlauben, dann müssen aber CORS Header gesetzt werden. Welcher Server für welchen Zweck welche Header setzen muss, ist mir auch nicht ganz transparent, da war ich bisher nicht so involviert.

Rolf