假设我的网站上的Javascript在localStorage中具有这样的数据：

<script>
    localStorage['my_website'] = "https://my_website.com";
</script>
<script type="text/javascript" src="https://bad_website.com/bad.js"></script>

另一个站点的bad.js可以读写localStorage['my_website']。这让我感到非常惊讶，因为我认为same-origin policy由每个浏览器自动执行。我完全想念什么吗？

如果bad.js可以更改Javascript的业务逻辑，这是否意味着您的网站投放的广告可以更改网站的许多部分？

无论如何，您能对此问题发表评论吗？我需要做些什么来防止跨域访问吗？

谢谢。