Hallo dedlfix,

was ich nicht kapiere, ist, wer die Header setzen muss. Und was der Spaß überhaupt soll.

Site A liefert Script aus, das AJAX Zugriffe auf Site B machen weil. Muss der Server von A seinem eigenen Script per Header gestatten, sich an Site B zu wenden? Wozu? Er kann doch gestatten was er will und jeglicher Schutz ist vorbei. Oder muss Site B Anfragen von Scripten von Site A erlauben? Woran erkennt sie dann zuverlässig Scripte von A?

Das setzt doch immer eine vertrauenswürdige Kontrollinstanz voraus, damit es überhaupt funktioniert.

Außerhalb vom Browser fehlt die, und wer Böses will, ist ja frei. keinen Browser zu nutzen. Wo ist also der Sinn des ganzen?

Rolf