好的，谢谢你帮我做这个@BassemDy -你给了我90%的答案，而我刚刚算出了我错过的另外10%。

我可以看到tripadvisor可以让我的浏览器在不违反任何跨域规则的情况下向facebook发送请求。正如BassemDy所指出的，当您从外部域加载图像，或者从某个外部域加载共享脚本(如google等)时，这种情况一直在发生。

我不明白的是，tripadvisor是如何让我的浏览器向facebook发送请求的，然后facebook可以识别我。

然后我想到了答案。当然tripadvisor的脚本不能直接读我的facebook cookie..。但是当我的浏览器向facebook提出跨域请求时，我的浏览器会将我的facebook cookie发送到facebook。那是我错过的部分。

然后facebook可以以tripadvisor的脚本所能读到的某种方式进行响应，因此tripadvisor的脚本可以确定我的身份。

所有使用OAuth和令牌的业务只是使上述过程安全的一种方式。实际上，tripadvisor可以让我把我的facebook饼干发送到facebook。

作为概念的证明，我在我控制的两个不同域上运行了以下测试脚本：

论domainone.com - login.php

然后在domaintwo.com - test.php上

首先，我访问domainone.com/login.php，并设置一个包含我名字的cookie。当你登录到facebook时，类似的事情会发生。

然后访问domaintwo.com/test.php

它无法阅读我的domainone.com曲奇。但是它使我的浏览器向domainone.com和发送请求，我的浏览器将随请求一起发送我的domainone.com cookie。然后，在domainone.com/responder中，将cookie值输入一些返回的javascript，并在domaintwo.com上执行。

执行的javascript使我的身份在domaintwo.com上可用。当我的名字出现在p元素中时，就说明了这一点。

我感到非常震惊的是，编写代码是多么容易，这些代码基本上会向任何想要用户身份的网站吐露用户身份。我想知道在野外有多少写得不好的单一登录尝试等待被利用.希望facebook和他们的好友使用的OAuth系统是安全的。