反推一下：当 B 告诉浏览器 A 站点的的访问是合法的时候。A 才能成功访问 B 。所以是保护 B 。

B 吧

请求不是重点吧，重点是跨域读不到 cookie

A 嵌入 B 时, 需要 A 的允许才能加载 B , 还是需要 B 的允许才能保护 B? 需要谁允许就是在保护谁.

这个问题有点陷阱 不知道楼主是不是故意的，在模糊 A 网站和使用 A 网站的用户。 同源策略主要是为了保护 B 网站的数据和资源安全，防止用户在访问 A 网站时被诱导对 B 网站进行未授权操作。 这是典型的 CSRF 攻击。