同一オリジンポリシー
https://developer.mozilla.org/ja/docs/Web/Security/Same-origin_policy

以下に挙げるのは、異なるオリジンに埋め込むことができるリソースの例です。

・JavaScript を <script src="..."></script> で使用する場合。構文に関するエラーメッセージは、同一オリジンのスクリプトについてのみ読み取り可能です。
・CSS を <link rel="stylesheet" href="..."> で使用する場合。 CSS は緩い構文規則を持っているため、オリジンをまたぐ CSS には適切な Content-Type ヘッダーを付加することが必要です。制約はブラウザーにより異なり、ブラウザーごとの詳細は Internet Explorer, Firefox, Chrome, Safari (日本語訳) (CVE-2010-0051 までスクロールしてください), Opera の各項目を参照してください。
・<img> で表示された画像。
・<video> および <audio> で再生されたメディア。
・<object> または <embed> で埋め込まれた外部リソースを。
・@font-face が適用されたフォント。異なるオリジンのフォントを許容するブラウザーもありますが、同一オリジンを要求するものもあります。
・<iframe> に関連するあらゆること。このような形のオリジン間のやりとりを防ぐため、サイトに X-Frame-Options ヘッダーを使用することができます。

RFC 6454 — The Web Origin Concept 日本語訳
https://www.ipa.go.jp/security/rfc/RFC6454JA.html