Zwischen vielen anderen, häufig in einem Atemzug mit Web 2.0 genannten Schlagworten und Konzepten stechen vor allem die Mashups heraus. Sie benennen die naheliegende Idee der Vermischung diverser Dienste und Datenquellen, die innerhalb einer Webapplikation bisher nur auf dem Server zufriedenstellend zu bewältigen war. Auf dem Client verhindert die „Same Origin Policy“ den Zugriff auf Dokumente aus fremden Domains, die zum Beispiel über Frames eingebunden sein können. So teilen sich seit den seligen Zeiten von Netscape 2.0 alle aus einer Domain stammenden Dokumente eine Sandbox innerhalb der vom Browser bereitgestellen Sandbox. Das macht Sinn, verhindert aber auch, dass aktuelle Implementierungen von XMLHttpRequests auf Resourcen fremder Domains zugreifen. Das verhindert die Kommunikation mit den zahllosen Web-APIs, die mittlerweile auch von Mainstream-Sites angeboten werden. Sie können bisher nur mithilfe von Tricks wie der Kommunikation mittels Query-String oder dem extrem unsicheren Remote Scripting genutzt werden. Der prinzipiell offenen Philosophie von Mashups schiebt der Client so einen Riegel vor, sodass saubere, standardkonforme und auch sicher „gemashte“ Webapplikationen noch Zukunftsmusik sind.

In einem Entwurf beschreibt das W3C nun einen Mechanismus, mit dem HTTP-Requests auf fremde Domains erlaubt werden, sodass nicht sofort die Same Origin Policy zuschlägt. Dafür signalisiert der Server, welchen Domains er den Zugriff gestattet. Das geschieht entweder über einen in der Response gelieferten „Access-Control“ HTTP-Header oder eine im Dokument eingebettete „<?access-control?>“ XML-Processing-Instruction, die vom Browser nacheinander ausgewertet werden. Der Zugriff wird nur dann gestattet, wenn die Host Domain auf ein Muster aus der Positivliste passt und nicht explizit auf eines in der Negativliste.