Ratgeber: HTML5 sicher einsetzen

Unterschiede zu "crossdomain.xml"

Plug-Ins wie Flash und Silverlight sind ebenfalls in der Lage, ein Cross Origin Request auszuführen. Allerdings unterscheidet sich dieses vom HTML5-COR grundlegend. Bei Flash und Silverlight wird auf dem Server eine Datei "crossdomain.xml" angelegt. Sie verzeichnet, welche Domains CORs stellen dürfen. Wenn Website Nummer eins die Website Nummer zwei in ihrer Datei "crossdomain.xml" erlaubt, kann Website Nummer zwei auf alle Dateien von Website Nummer eins zugreifen. Eine Site hat immer Zugriff auf alle Ressourcen der anderen - oder auf keine.

COR unter HTML5 arbeitet hingegen mit einer auf einzelne Seiten bezogenen Zugriffskontrolle. Jede Seite muss einer anfragenden mit einem bestimmten HTTP-Header antworten, um den Datenzugriff zu gestatten. Damit haben Entwickler die Möglichkeit, nur bestimmten Teilen ihrer Applikation die Kommunikation mit anderen Websites zu erlauben. Die XHR-Steuerung liegt nicht mehr in Händen des Serveradministrators.

Ein weiterer Unterschied: Bei Flash und Silverlight wird die "crossdomain.xml"-Datei vom Browser erst abgeholt und dann analysiert. Wenn einer fremden Website der Zugriff laut "crossdomain.xml" verwehrt ist, verhindert der Browser entsprechende Aufrufe. COR unter HTML5 ruft hingegen erst die externe Seite auf und überprüft dann den HTTP-Header-Eintrag Access-Controll-Allow-Origin.