nicht angemeldet
Rolf BHallo alle,
ich bin, was CORS anbetrifft, ein Analphabet und bitte um Auskunft. Die Erklärungen bei Mozilla begreife ich nicht - vor allem deshalb, weil die URLs aus dem Text nicht mit denen in den Beispielen übereinstimmen und es deshlab ein Rätsel ist, über welchen Server geredet wird.
Szenario:
Abgerufen wird die URL http://foo.example.com/index.html. Diese lädt ein Script nach: http://foo.example.com/daten.js.
Ja, http. Weil...
daten.js soll einen Zugriff auf http://localhost:54321/dings/bums/123 machen, um auf dem Client eine bestimmte Funktion auszulösen.
Würde foo.example.com per https kommen, wäre dieser Zugriff die Hölle, weil man dann auf jedem Gerät, wo das passieren soll, HTTP Zertifikate für localhost bereitstellen müsste.
Bisher lief das unter bad old IE und soll jetzt auf einen Chromium-Browser übertragen werden. Der passt natürlich auf CORS auf.
Meine Fragen:
-
ist es für CORS relevant, ob http oder https verwendet wird? Sprich: Wenn irgendwann, wie ich schon lange fordere und andere boykottieren, endlich Transportsicherheit eingeführt wird und der Zertifikatekrieg gewonnen wird, würde das die erforderlichen CORS Maßnahmen verändern?
-
Wer muss den CORS Header Access-Control-Allow-Origin setzen?
- Muss foo.example.com sagen, dass Code, der von ihm kommt, Cross-Origin Requests machen darf?
- Muss oder kann foo.example.com sagen, dass Code, der von ihm kommt, nur bestimmte Ziel-Origins anprechen darf? Wenn ja, muss dann auch der Port festgelegt werden (was knifflig wird weil der variabel ist)?
- Muss localhost:54321 den an ihn gestellten Request damit beantworten, dass foo.example.com (oder meinetwegen auch *) das darf?
- Müssen es beide tun?
-
Reicht Access-Control-Allow-Origin für einfache GET Requests? Oder muss ich GET per Access-Control-Allow-Method explizit freischalten?
Self-typisch, aber absolut überflüssig sind Nebendiskussionen zu http vs https und CORS-Zugriffe auf localhost. Beides kann fragwürdig sein, aber das hilft mir keinen Millimeter weiter, die Konstruktion des Szenarios liegt außerhalb meines Einflusses und es ist ein Intranet mit strikt gemanagten Clients, nicht das WWW.
Rolf
sumpsi - posui - obstruxi