Hi,

Kann man so sehen, ist aber irgendwie das Pferd von hinten aufgezäumt.

Das machst *du* doch am liebsten ...

Soll heißen: Statt die Server zu zwingen, CORS zu unterstützen, sollte man es ihnen freistellen.

Es ist jedem Serverbetreiber freigestellt zu sagen: Ja, von der Domain ausgehend dürfen meine Daten per clientseitigem AJAX eingebunden werden.

Ein Server, der auf Same Origin wert legt, kann ja den Header vom Client auswerten und einfach mit "503 Access denied" antworten, wenn der ihm nicht passt.

Welchen Header?

Wenn er aber "200 ok" liefert, gilt das natürlich als Einverständnis, und gut.

Hat er bei Frames auch gemacht - ein Einverständnis stelle das aber noch lange nicht dar.
U.a. deshalb gibt's jetzt den X-Frame-Options-Header.

So wie es jetzt mit FireFox 5 gemacht wurde, laufen einige Programme einfach nicht mehr, weil man kurzerhand die Clients brutal beschnitten hat. Das gibt Mecker seitens der Benutzer in Richtung clientseitige Programmierer, die dann wiederum bei den Serverbetreibern auf der Matte stehen müssen...

Dann muss dieser Programmierer jetzt halt mal das nachholen, was er bisher versäumt hat.

MfG ChrisB