Entwicklung & Design

Mit XMLHttpRequests über Domaingrenzen hinweg kommunizieren: Neue W3C-Spezifikationen für das Web 2.0

In dem Arbeitspapier „Enabling Read Access for Web Resources“ spezifiziert das W3C eine Technologie, welche die für das Web 2.0 zu restriktive „Same Origin Policy“ aufweicht. Damit existiert erstmals eine standardkonforme Möglichkeit, mit einem XMLHttpRequest auf Daten außerhalb der Ursprungsdomain zuzugreifen.

Zwischen vielen anderen, häufig in einem Atemzug mit Web 2.0 genannten Schlagworten und Konzepten stechen vor allem die Mashups heraus. Sie benennen die naheliegende Idee der Vermischung diverser Dienste und Datenquellen, die innerhalb einer Webapplikation bisher nur auf dem Server zufriedenstellend zu bewältigen war. Auf dem Client verhindert die „Same Origin Policy“ den Zugriff auf Dokumente aus fremden Domains, die zum Beispiel über Frames eingebunden sein können. So teilen sich seit den seligen Zeiten von Netscape 2.0 alle aus einer Domain stammenden Dokumente eine Sandbox innerhalb der vom Browser bereitgestellen Sandbox. Das macht Sinn, verhindert aber auch, dass aktuelle Implementierungen von XMLHttpRequests auf Resourcen fremder Domains zugreifen. Das verhindert die Kommunikation mit den zahllosen Web-APIs, die mittlerweile auch von Mainstream-Sites angeboten werden. Sie können bisher nur mithilfe von Tricks wie der Kommunikation mittels Query-String oder dem extrem unsicheren Remote Scripting genutzt werden. Der prinzipiell offenen Philosophie von Mashups schiebt der Client so einen Riegel vor, sodass saubere, standardkonforme und auch sicher „gemashte“ Webapplikationen noch Zukunftsmusik sind.

In einem Entwurf beschreibt das W3C nun einen Mechanismus, mit dem HTTP-Requests auf fremde Domains erlaubt werden, sodass nicht sofort die Same Origin Policy zuschlägt. Dafür signalisiert der Server, welchen Domains er den Zugriff gestattet. Das geschieht entweder über einen in der Response gelieferten „Access-Control“ HTTP-Header oder eine im Dokument eingebettete „<?access-control?>“ XML-Processing-Instruction, die vom Browser nacheinander ausgewertet werden. Der Zugriff wird nur dann gestattet, wenn die Host Domain auf ein Muster aus der Positivliste passt und nicht explizit auf eines in der Negativliste.

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!