Сценарии, кажется, обрабатываются для каждого домена. Таким образом, скрипты из каждого домена блокируются или запускаются в зависимости от того, в какой зоне они находятся.
Я написал тестовую страницу. Оба rr() и qq() совпадают со встроенным скриптом. Перемещая домены между зонами, легко увидеть, что некоторые блокируются, а некоторые нет.
<html>
<!-- Put yourjavascript.com temporarily into the untrusted zone -->
<script src="https://code.jquery.com/jquery-2.2.3.min.js"></script>
<script type="text/javascript" src="http://yourjavascript.com/51158106415/scare.js"></script>
<script type="text/javascript" src="script.js"></script>
<p id="one">Inline Script <span>Blocked</span></p>
<p id="two">Local Script <span>Blocked</span></p>
<p id="three">Trusted Script <span>Blocked</span></p>
<p id="four">Untrusted Script <span>Blocked</span></p>
<script>
//inline
document.getElementById('one').getElementsByTagName('span')[0].innerHTML = "Allowed";
</script>
<script>
//local
rr();
</script>
<script>
//trusted
$('#three span').html("Allowed");
</script>
<script>
//untrusted
qq();
</script>
</html>