Hello,

nochmal zur Verdeutlichung ein Beispiel.

Das Laden nützt mir aber nichts, wenn das JS aus der anderen Domain dann in der Seite nichts machen darf ;-P

Nehmen wir an, https://me.example/ liefert ein HTML-Dokument. Dieses Dokument zieht sich nun eine Jacascript-Ressource von https://you.example/. Das kann es ohne Einschränkung tun.

Das Script läuft nun aber im Kontext von me.example, das ist sein Origin. Es kann im Dokument, in das es eingebettet ist, nach Herzenslust schalten und walten. Aber - und das mag paradox erscheinen - es darf nicht mehr auf you.example zugreifen, obwohl es doch selbst von dort kommt!

Interessant!

Das ist ja dann noch einfacher geregelt mit der "Sicherheit". Und darf es denn dann überhaupt noch auf weitere Frendseiten zugreifen?

Das wäre wieder eine Lücke, um doch noch Daten zu veruntreuen.

Das muss ich dringend nochmal untersuchen ;-)

Aber ich habe zuvor noch mit ein paar anderen Mythen aufzuräumen, auf die ich im ersten Anlauf reingefallen bin.

Ich trage meinen Vornamen vermutlich aber zu Recht ;-P

Glück Auf
Tom vom Berg