Владимир Проскурин, в порядке следования в DOM разумеется. Смысл в том, даже если у тебя пока только половина html, а остальное ещё грузится, ты уже можешь покрасить текст в синий и быть уверенныи, что это значение не поменяется после загрузки остального html.
Да, есть проблемы с рефлоу, таблицами и тп, но оригинальная мысль была такая
Ну описано примерно верно.
Конкретно со сбером такая атака возможно и не прокатит, но есть множество сайтов которые с простой авторизацией по кукам которые браузеры самостоятельно отправляют при любом запросе. И твоему скрипту их знать совершенно не нужно.
Запрет на доступ по умолчанию защищает в первую очередь такие сайты.
