Mitleser 2.0: neues Problem: Cross-Origin

Beitrag lesen

problematische Seite

Du hast QSA (→ Query String Append?!) ergänzt? Ja, könnte sinnvoll sein.

... und das Caretzeichen, sowie den Backslash vor dem Dot. QSA war nur nützliches Beiwerk, weil der Qierystring sonst verloren geht.

Kannst auch noch ein Dollarzeichen nach der TLD nachlegen. Für den Fall, das mal remso.eus dazu kommt und eine Sonderbehandlung braucht. Man weiß ja nie!

Das gibt dann aber immer noch eine Definitionslücke für den Fall, dass HTTPS am Server ausgefallen ist.

Nein, ich denke nicht. In diesem Randfall würde der Server auf HTTPS umleiten und nichts geht mehr. Ziel erreicht. Gleiches dank HSTS und HSTS preloading.

Das ist sclechte UX. Der User sollte eine entsprechende Usermessage bekommen, die ihm eventuell hilft, Abhilfe zu schaffen. Es könnte auch Port 443 beim Clientnetz gesperrt sein.

Bitte was? Wenn das Problem beim Client liegt, besteht doch überhaupt keine Möglichkeit mehr, am Server zu reagieren?! Ganz abseits davon kommt „Port 443 beim Clientnetz gesperrt“ im Jahr 2020 einem „mein Internet ist kaputt“ recht nah.

Habe ich noch nie ausprobiert, was der Browser dann macht.

Ich tippe auf etwas in der Art wie „Die Verbindung zum Server konnte nicht hergestellt werden“. Tut aber auch irgendwie so überhaupt nichts zur Sache.