Вопрос заключается в том:
"А ЗАЧЕМ вообще запретили обращаться AJAXом на чужой домен?"

Не понятна -((

Это сообщение отредактировал(а) Deja_Vu - 18.6.2008, 18:16

ну к примеру у тебя остались куки на мэйле.ру, и аяксом ты обращаешься к серваку, чтобы тот сгенерировал код странички, и затем крадешь письма) прикольно, да? 

броузер не отдаст куки моему домену, который открывает контент маела, так что тут пролет ... дыры нет.

Это сообщение отредактировал(а) Deja_Vu - 20.6.2008, 22:28

Deja_Vu, поменяйте домены местами и всё поймёте 

Как вы собираетесь менять домены местами? 
как мой домен может грузиться из под чего либо сайта? .. т.е. мне надо внедрить фрейм со своим сайтом. Тогда какой нафиг ajax? я чем угодно пошлю куки.

Это сообщение отредактировал(а) Deja_Vu - 20.6.2008, 22:29

что ж ... никто не может привести пример чем это не безопасно?

просто есть способ обмениваться информацией, выполнять js с "левого" домена, без ajax но тоже без перегрузки всей страницы.
Полный аналог, но, как говорится немного через "ж...."

А что за аналог? Меня как раз такой аналог интересует )) 

куки возможно нет, но вот содержимое, да.

если запретили, значит на то есть причины. посмотри на w3c.org

Добавлено через 7 минут и 8 секунд

http://javascript.ru/ajax/transport/script

только ты должен понимать, что злоумышленник взломав твой сайт, может внедрить свой вредный js код.
Который попадет на все сайты загружающие твой скрипт.

Это сообщение отредактировал(а) mxt - 31.7.2008, 17:40

Вам этот запрет мешает в разработке?
Есть альтернативные способы. Например, можете прочитать эту статью: http://javascript.ru/ajax/cross-domain-scripting

allowDomain в Flash

Эм ... и?
А если тебе какраз и нужно содержимое сайта, что в этом такого. Оно ведь открыто и та кдля всех.

Если есть куки, то генерируется контент для определённого пользователя, который не виден Всем

да плевать на куки ... где тут нарушение в безопасности?
ну не увидит 3ий сайт моих куков ... ну и что?


пока что вменяемой аргументации не нахожу до сих пор.


+ уже есть 3 варианта обхода этого запрета.

Deja_Vu, Imho, основная причина этого запрета - быстрое и эффективное прекращение эпидемии mail-вирусов. Под раздачу попала идея ActiveX, причем настолько смертельно, что сейчас ее даже сам Микрософт во всю хоронит... А так как HttpRequest - тот-же самый ActiveX, то всех загребли в одну корзинку...
Сейчас можно было бы и пересмотреть такое половинчатое и не совсем умное решение, однако все этого с тех пор бояцца   

Вот пример "злонамеренных действий", которые можно было бы применить при наличии доступного к анализу Frame-HttpRequest-овского контента от чужого сайта.

Баннерная сеть.
Банер - скрипт на JavaScript. Его может положить практически любой юзер.
Все сайты членов банерной сети отныне доступны для мониторинга тому банеру, который показывается сайтом. Банер может проверить, скопировать на сторону любой контент, включая ввод банковских карточек и паролей...

Добавлено @ 17:32
Хотя это скорее причина запрета на просмотр содержимого чужого фрейма...

Это сообщение отредактировал(а) ksnk - 24.12.2008, 17:32