Umgehung der „Same-Origin“-Regel bei AJAX-Fragen mit Mozillas JetPack

Wichtigstes Sicherheitsfeature, aber auch eines der größten Probleme bei AJAX-Anfragen stellt die Same-Origin-Regel dar. Diese legt fest, dass ein Browser Daten per AJAX nur von dem URL nachladen kann, von dem auch die Originalseite geladen wurde. Damit ist eine Täuschung von Besuchern nicht so leicht möglich, denn ohne diese Einschränkung könnte eine Webseite, die von einer vertrauenswürdigen Quelle geladen wurde, unbemerkt vom Anwender Daten von einer nicht vertrauenswürdigen Quelle nachziehen. Aber die Einschränkung ist auch offensichtlich – man kann insbesondere nicht einfach so per AJAX Daten von fremden Quellen verwenden. Etwa Daten, die ein Contentanbieter wie Google oder Yahoo bereitstellen. Um diese Einschränkungen zu umgehen stellen diverse Frameworks Lösungen bereit, die meist auf dem Nachladen von JavaScripten basieren.

Das neue API von Mozilla, das eine neue Plug-In-Technik darstellt und sich noch in einer sehr frühen Phase befindet (0.5), stellt nun direkt neue XHR-Objekte bereit, die per se nicht mehr an diese Einschränkung gebunden sind.

Darüber hinaus bietet JetPack spezielle APIs für den Zugriff auf Browser-Tabs sowie die aktuelle Textauswahl und für die automatische Übersetzung von Zeichenketten.

Ein Kommentar

  1. Danke für die Erklärungen, das war mir bisher gar unbewusst

Kommentar verfassen