если мы зайдем на сайт злоумышленника, то отправляется запрос на bank.com
с нашими данными, что является xss атакой,
но, такого не может быть, тк существует такое понятие как sop. same-origin policy
и по логике из-за sop не бывает xss атак, помогите разобраться