Hallo,

Soll heißen: Statt die Server zu zwingen, CORS zu unterstützen, sollte man es ihnen freistellen.

Es ist jedem Serverbetreiber freigestellt zu sagen: Ja, von der Domain ausgehend dürfen meine Daten per clientseitigem AJAX eingebunden werden.

Eben. Er darf auch sagen: Ja, von *jeder* Domain aus dürfen meine Daten eingebunden werden. Das Dumme ist nur, dass er jetzt anscheinend zwingend so eine Äußerung machen *muss*. Vorher hat es gereicht, die Daten einfach zu liefern oder nicht, je nachdem, wer danach fragt.

Ein Server, der auf Same Origin wert legt, kann ja den Header vom Client auswerten und einfach mit "503 Access denied" antworten, wenn der ihm nicht passt.

Welchen Header?

Den Request-Header, den der Client mitsendet. Wenn ein Script, das von einer file://-Ressource geladen wurde, einen AJAX-Request absetzt, dann sendet der Client u.a. origin=null im Request-Header. Daran kann der Server sehen, wenn er es denn beachten will, dass die Anfrage nicht von seiner eigenen Domain mit origin=example.org stammt sondern eben von irgend einer file://ressource, und kann den Zugriff verweigern.

Es ist wie bei der Diskussion um Organspende: Man überlegt zur Zeit, ob nicht einfach jeder als potenzieller Spender gelten soll, der das nicht ausdrücklich verweigert hat. Für AJAX wäre dieses Vorgehen vernünftig. Statt dessen werden jetzt *aus heiterm Himmel* alle Server gezwungen, mit einem Header-Eintrag explizit zuzustimmen, sonst ist das bisher funktionierende AJAX kaputt.

Das gibt Mecker seitens der Benutzer in Richtung clientseitige Programmierer, die dann wiederum bei den Serverbetreibern auf der Matte stehen müssen...

Dann muss dieser Programmierer jetzt halt mal das nachholen, was er bisher versäumt hat.

Dieser Programmierer bin u.a. ich, und ich habe doch nichts versäumt, sondern nur den FireFox so benutzt, wie das von Mozilla beschrieben ist, dass man es tun kann. Klammheimlich und urplötzlich unterstützt er das nicht mehr?

Es gibt ja nichts, was *ich* als Programmierer dagegen tun könnte, außer eben die Serverbetreiber bitten ihre Technologie umzustellen. Nicht, weil ich es will, sondern weil mein Werkzeug, der Browser, es eigenmächtig so entschieden hat.

Das wäre schon eine Anmaßung, und ich kann noch nicht ganz glauben, dass es wirklich so ist. Vielleicht ist ja doch nur ein Bug... Immerhin erscheint ja nach wie vor die Sicherheitsmeldung, und nachdem der Benutzer einem Cross-Domain-Request zugestimmt hat, wird der auch abgesetzt und keine Exception geworfen. Leider kommen aber die Antwort-Daten vom Server nicht mehr bis zum Benutzer durch...

Gruß, Don P