SOPが適用されないもの
Web resourceから別のWeb resourceに対する操作
の表の
「Cross-Origin (SOPあり)」の列が「制限しない」になっているものが該当する
具体的には
embeds系のもの全て
例えば、
<script>
や
<link>
など
simple requestの場合のwrite
例えば、
<form>
など
参考
同一オリジンポリシー - ウェブセキュリティ | MDN