Diskussion:Same-Origin-Policy

Im Gegensatz zum Englischen, das kaum zusammengesetzte Wörter kennt, werden im Deutschen ungebeugte Adjektive immer mit ihrem Substantiv zusammen als ein Wort geschrieben. Wo das aus Lesbarkeitsgründen nicht geht, müssen Bindestriche verwendet werden. Deshalb wird "Same-Origin-Policy" im Deutschen nicht - wie im aktuellen Artikel - ohne, sondern mit zwei Bindestrichen geschrieben. Ansonsten hieße es (wörtlich) übersetzt "Gleich Herkunft Richtlinie" und nicht "Richtlinie bezüglich der übereinstimmenden Herkunft".

--My2Cents 11:53, 8. Feb. 2011 (CET)[Beantworten]

Ob man das nun als englischen Ausdruck (auseinandergeschrieben und ziemlich zweifellos die auch im Deutschen gebräuchliche Fassung) oder als deutsches Lehnwort (durchgekoppelt) sehen will, darüber kann man streiten. Dass die Übersetzung der englischen Wörter von der Durchkopplung im Deutschen abhängig ist, halte ich aber für eine äußerst gewagte These. Viel mehr kann man deutsche Lehnwörter gar nicht mehr übersetzen, sind ja nun deutsche, sonst würden sie ja auch nicht durchgekoppelt. Eine "Same-Origin-Policy" ist also eine Policy zur Same-Origin, da lässt sich nichts übersetzen. Eine englische "Same Origin Policy" lässt sich mit "Richtlinie bezüglich der übereinstimmenden Herkunft" übersetzen. --YMS 15:19, 12. Feb. 2011 (CET)[Beantworten]

Der erste Satz

Die Same-Origin-Policy (SOP) ist ein Sicherheitskonzept, das es JavaScript und ActionScript nur dann erlaubt, auf Objekte einer anderen Webseite zuzugreifen, wenn sie aus derselben Quelle (Origin) stammen.

ist Unsinn, denn man kann problemlos auf sämtliche Inhalte (Skripte, Stylesheets, Bilder) eines Frames vom gleichen Origin zugreifen, aber niemals auf Inhalte eines Frames von anderem Origin. MDC spricht von "getting or setting properties of a document from another origin". Das kommt schon eher hin, aber man sollte auch noch auf XHR-Responses eingehen, und gibt es sonst noch was? --95.113.16.168 (23:54, 1. Mär. 2011 (CET), Datum/Uhrzeit nachträglich eingefügt, siehe Hilfe:Signatur)[Beantworten]

Wieso Unsinn? Da steht genau das was du sagst. Mit JS kann man nur auf Inhalte einer anderen Webseite (Frame) zugreifen, wenn sie aus *derselben* Quelle stammen. Struppi 10:59, 16. Mai 2011 (CEST)[Beantworten]

Erneut: Das ist Unsinn. Beispiel: Seite origin.com sieht so aus: <img id="foo" src="//differentorigin.com/img.jpg"><iframe id="frame" src="//differentorigin.com">. Seite differentorigin.com: <img id="bar" src="//origin.com/img.png">. So, nun ist alert(document.getElementById('foo')) kein Problem, denn das Bild stammt zwar aus einem anderen Origin, ist aber Teil eines Dokuments des gleichen Origin. Genauso kann man document.getElementById('frame').contentDocument auslesen. Aus dem umgekehrten Grund scheitert aber alert(document.getElementById('frame').contentDocument.getElementById('bar')): Das Bild stammt zwar vom gleichen Origin, ist aber Teil eines Dokuments eines anderen Origins. Klar? --95.113.31.223 02:17, 15. Aug. 2011 (CEST)[Beantworten]

JSFiddle dazu: http://jsfiddle.net/fA5FF/ --95.113.31.223 02:26, 15. Aug. 2011 (CEST)[Beantworten]

Die SOP greift nicht, wenn externe Scripts per tag eingebunden werden. Auf diese Weise funktionieren auch die weit verbreiteten Injections der Google-API (JQuery ...) und hebeln nebenbei jeden Statistics-Blocker aus. -- 178.165.131.167 01:52, 29. Mär. 2015 (CET)[Beantworten]