Diskussion:Same-Origin-Policy

aus Wikipedia, der freien Enzyklopädie
Letzter Kommentar: vor 9 Jahren von 178.165.131.167 in Abschnitt Externe APIs
Zur Navigation springen Zur Suche springen

Same-Origin-Policy schreibt sich im Deutschen mit zwei Bindestrichen

[Quelltext bearbeiten]

Im Gegensatz zum Englischen, das kaum zusammengesetzte Wörter kennt, werden im Deutschen ungebeugte Adjektive immer mit ihrem Substantiv zusammen als ein Wort geschrieben. Wo das aus Lesbarkeitsgründen nicht geht, müssen Bindestriche verwendet werden. Deshalb wird "Same-Origin-Policy" im Deutschen nicht - wie im aktuellen Artikel - ohne, sondern mit zwei Bindestrichen geschrieben. Ansonsten hieße es (wörtlich) übersetzt "Gleich Herkunft Richtlinie" und nicht "Richtlinie bezüglich der übereinstimmenden Herkunft".

--My2Cents 11:53, 8. Feb. 2011 (CET)Beantworten

Ob man das nun als englischen Ausdruck (auseinandergeschrieben und ziemlich zweifellos die auch im Deutschen gebräuchliche Fassung) oder als deutsches Lehnwort (durchgekoppelt) sehen will, darüber kann man streiten. Dass die Übersetzung der englischen Wörter von der Durchkopplung im Deutschen abhängig ist, halte ich aber für eine äußerst gewagte These. Viel mehr kann man deutsche Lehnwörter gar nicht mehr übersetzen, sind ja nun deutsche, sonst würden sie ja auch nicht durchgekoppelt. Eine "Same-Origin-Policy" ist also eine Policy zur Same-Origin, da lässt sich nichts übersetzen. Eine englische "Same Origin Policy" lässt sich mit "Richtlinie bezüglich der übereinstimmenden Herkunft" übersetzen. --YMS 15:19, 12. Feb. 2011 (CET)Beantworten

Überarbeiten: Genaue Definition

[Quelltext bearbeiten]

Der erste Satz

Die Same-Origin-Policy (SOP) ist ein Sicherheitskonzept, das es JavaScript und ActionScript nur dann erlaubt, auf Objekte einer anderen Webseite zuzugreifen, wenn sie aus derselben Quelle (Origin) stammen.

ist Unsinn, denn man kann problemlos auf sämtliche Inhalte (Skripte, Stylesheets, Bilder) eines Frames vom gleichen Origin zugreifen, aber niemals auf Inhalte eines Frames von anderem Origin. MDC spricht von "getting or setting properties of a document from another origin". Das kommt schon eher hin, aber man sollte auch noch auf XHR-Responses eingehen, und gibt es sonst noch was? --95.113.16.168 (23:54, 1. Mär. 2011 (CET), Datum/Uhrzeit nachträglich eingefügt, siehe Hilfe:Signatur)Beantworten

Wieso Unsinn? Da steht genau das was du sagst. Mit JS kann man nur auf Inhalte einer anderen Webseite (Frame) zugreifen, wenn sie aus *derselben* Quelle stammen. Struppi 10:59, 16. Mai 2011 (CEST)Beantworten
Erneut: Das ist Unsinn. Beispiel: Seite origin.com sieht so aus: <img id="foo" src="//differentorigin.com/img.jpg"><iframe id="frame" src="//differentorigin.com">. Seite differentorigin.com: <img id="bar" src="//origin.com/img.png">. So, nun ist alert(document.getElementById('foo')) kein Problem, denn das Bild stammt zwar aus einem anderen Origin, ist aber Teil eines Dokuments des gleichen Origin. Genauso kann man document.getElementById('frame').contentDocument auslesen. Aus dem umgekehrten Grund scheitert aber alert(document.getElementById('frame').contentDocument.getElementById('bar')): Das Bild stammt zwar vom gleichen Origin, ist aber Teil eines Dokuments eines anderen Origins. Klar? --95.113.31.223 02:17, 15. Aug. 2011 (CEST)Beantworten
JSFiddle dazu: http://jsfiddle.net/fA5FF/ --95.113.31.223 02:26, 15. Aug. 2011 (CEST)Beantworten

Externe APIs

[Quelltext bearbeiten]

Die SOP greift nicht, wenn externe Scripts per tag eingebunden werden. Auf diese Weise funktionieren auch die weit verbreiteten Injections der Google-API (JQuery ...) und hebeln nebenbei jeden Statistics-Blocker aus. -- 178.165.131.167 01:52, 29. Mär. 2015 (CET)Beantworten