很多人都会卡在 “其他网站是通过什么方式怎样读取 A 的 cookie 呢”

实际上，其他网站并不能读取到 A 的 Cookie，其他网站是利用了浏览器在发送请求时，会自动携带目标网站的 Cookie 的这样一个特性。

不过 Cookie 其实还有一个 SameSite 标记，在一定程度上可以避免这个问题。

前提有些搞错了，在没有 SOP 的情况下，或许可以通过其他答主提到了 iframe 来访问 document.cookie ，不过这样是访问不到 HttpOnly 的 Cookie 的，另外就是我实测下来，这个是 conentDocument 实际是 null，有些疑惑。

Chrome 的 --disable-web-security 在关闭所有实例，启用一个新的用户目录时，会提示这是一个无效的选项。

Firefox 在关闭了 strict origin policy 后也是 null

除了这个以外，还有对于 JS 的限制：

JavaScript 的 API 中，如 iframe.contentWindow、 window.parent、window.open 和 window.opener 允许文档间直接相互引用。当两个文档的源不同时，这些引用方式将对 Window 和 Location 对象的访问添加限制，如下两节所述。

为了能让不同源中的文档进行交流，可以使用 window.postMessage。

• 浏览器的同源策略 - Web 安全 | MDN

不需要读取cookie。

如果没有同源策略，你可以在你的网站里 通过请求银行接口发起转账(假设没有U盾、验证码等验证)。

不类比银行，你可以类比任何网站的个人信息接口，没有同源策略，其他网站的cookie在你的域下发起的请求，也会带上。请求对方的个人信息接口，任何人访问你的站点，你都能获取到当前用户在其他网站的个人信息。比如qq空间、qq邮箱、网易邮箱等等等。

宽泛的说，任何“跨站”操作，都可以跟“同源”沾边，任何防止“跨站”的措施，都可以视为同源“策略”