W3C definiert Standard für Cross-Origin Resource Sharing (CORS)

Richtig lange hat?s gedauert ? nun wurde der Standard für das Cross-Origin Resource Sharing offiziell von höchster Stelle definiert und freigegeben.

Dass das World Wide Web Consortium (W3C) mitunter etwas träge beim Verabschieden neuer Standards ist, hat man gerade erst wieder bei CORS (http://www.w3.org/TR/2014/REC-cors-20140116/) unter Beweis gestellt: Rund acht Jahre wurde diskutiert, wie Browser über Domain-Grenzen hinweg kommunizieren können beziehungsweise dürfen. Knackpunkt war hierbei, dass die Same-Origin-Policy das normalerweise verbietet. CORS versteht sich als Kompromiss zugunsten grösserer Flexibilität im Internet unter Berücksichtigung möglichst hoher Sicherheitsmassnahmen.

Die Technik hinter Cross-Origin Resource Sharing (CORS) ist einfach zu erklären: Mit dem XMLHttpRequest-Objekt kann man den Zugriff von Domain A auf Domain B erlauben, sodass etwa HTML5-Webanwendungen mit anderen Servern interagieren können. Explizit werden Cross-Site-Interaktionen zuzulassen ? die standardmässige Same Origin Policy wird zu ignorieren.
Dank der CORS-Unterstützung lassen sich beispielsweise bei Drag-und-Drop-Uploads in HTML5 der Fortschritt anzeigen und der dargestellte Inhalt aktualisieren. Auch ist es nunmehr leichter möglich, Ressourcen aus externen Quellen wie Webfonts und Bilder zu teilen. Dazu war bisher aus Sicherheitsgründen ein Proxy-Server notwendig.

CORS wird von folgenden Rendering-Engines unterstützt: Gecko ab 1.9.1 (Mozilla Firefox ab 3.5,  SeaMonkey ab 2.0), WebKit (Safari ab 4.0, Google Chrome ab 3.0), MSHTML/Trident 4.0+ (Internet Explorer 8/9 teilweise, Internet Explorer 10 vollständig) und Presto ab 2.10.232 (Opera ab 12.0). (ph/w&m)