Hola:

Imagina en tu red dos PCs, en uno navegas tú y el otro tiene un servidor web arrancado. Imagina que sus nombres son pc1 (en el que navegas) y el otro es pc2 ( accesible desde pc1 por medio de http://pc2 ) pero que no está accesible desde internet.

Si desde pc1 cargas un sitio web malicioso de internet (por ejemplo http://sitiomalo ), ese sitio malo puede enviarte código javascript que se ejecutará en tu pc1 y que intente hacer consultas a http://pc2 que sí está accesible desde pc1 . Sin protección de crosssitescripting, el código javascript de sitiomalo puede cargar páginas de http://pc2 y enviar su contenido a http://sitiomalo/tomaContenidoPirateado.

Si además http://pc2 está protegido con usuario y password y estás con sesión abierta desde pc1, http://sitiomalo accederá como si estuviera en sesión ya que http://pc2 sabe que tu navegador le está pidiendo cosas desde pc1 y hay un usuario con sesión abierta. El tema de cookies lo maneja el navegador por defecto, si tienes una sesión abierta lo habitual es guardarla en una cookie. Cada vez que el navegador hace una petición a un dominio (sea ajax o normal), envía la cookie de ese dominio si la tiene.

Se bueno.