Hallo Sanddorn22,

Die Beschreibung der same-origin-policy im Self-HTML-Glossar finde ich aber etwas missverständlich. Dort heißt es nämlich:
„Die Same-Origin-Policy (SOP) ist ein Sicherheitskonzept, das clientseitigen Skriptsprachen wie JavaScript, aber auch Cascading Style Sheets einschränkt auf Objekte zuzugreifen, >>die von einer anderen Webseite stammen oder deren Speicherort nicht der Origin entspricht<<.“

Ja, ich habe es ein wenig besser formuliert.

Die Frage, die sich stellt, ist ja wohl, was hier mit >>„von einer anderen Webseite stammen“<<, bzw. >>„mit der "Origin“ genau gemeint ist<<.

Mit der Origin ist Protokoll, Domain und Port gemeint.

Gemäß den Ausführungen im vorigen Absatz, wäre die Quelle nach meinem Verständnis die URL, von der z.B. die Schriftartdateien (tatsächlich) stammen. Also im obigen Fall fontsquirrel.com .

Nein.

In der Praxis ist mit der "Origin" aber wohl die Webseite gemeint, auf der (in diesem Fall) die Schriften zur Anwendung kommen sollen, also die URL des jeweiligen Webprojektes. So ergibt es sich jedenfalls aus dem SELFHTML-Arkikel, der eingangs genannt ist und von mir auch entsprechend umgesetzt wurde.

Nicht nur in der Praxis. Allerdings nicht die komplette URL, sondern nur Protokoll und Domain. Die SOP schlägt also schon dann zu, wenn ein JavaScript auf **http://**example.com ein anderes von **https://**example.com nachladen möchte.

Bis demnächst
Matthias