Hallo,

Cross-Domain AJAX ohne Einschränkungen brächte das Thema, das bei Frame lange aktuell war - unerwünschtes (clientseitiges) Aneignen fremder Inhalte - wieder auf den Tisch.
Und deshalb muss bei Cross-Domain AJAX auch die Gegenseite mitspielen, in dem sie entsprechende Header sendet und damit ihr „Einverständnis“ gibt - so simpel ist das.

Kann man so sehen, ist aber irgendwie das Pferd von hinten aufgezäumt. Wenn der Client CORS unterstützt, ist das ja ok. Wenn der Server es nicht tut – selber schuld. Dann darf der Server-Admin sich auch nicht wundern, wenn seine Inhalte unerwünscht angezeigt werden.

Soll heißen: Statt die Server zu zwingen, CORS zu unterstützen, sollte man es ihnen freistellen. Ein Server, der auf Same Origin wert legt, kann ja den Header vom Client auswerten und einfach mit "503 Access denied" antworten, wenn der ihm nicht passt. Wenn er aber "200 ok" liefert, gilt das natürlich als Einverständnis, und gut. Wieso soll der Server überhaupt extra CORS-Info schicken? Es reicht doch, dass er die angefragten Daten sendet oder eben nicht.

So wie es jetzt mit FireFox 5 gemacht wurde, laufen einige Programme einfach nicht mehr, weil man kurzerhand die Clients brutal beschnitten hat. Das gibt Mecker seitens der Benutzer in Richtung clientseitige Programmierer, die dann wiederum bei den Serverbetreibern auf der Matte stehen müssen...

Gruß, Don P