XHR и кроссдоменность

[Яростный Меч]

Напомните, в чем был смысл вводить ограничение?

Чтобы чужой сайт не утянул доступный авторизованному юзеру контент? для этого достаточно убрать куки из XHR-запроса на чужой домен.

все прочее всегда можно достать через свой сервер - тот же запрос без куков.

[Gozar]

Яростный Меч,
Ты так спрашиваешь, будто бы кто-то из здесь присутствующих ввел ограничение.

[Яростный Меч]

Gozar,
ну может быть кто-то из здесь присутствующих знает ссылку, по которой внятно расписан этот момент.

[monolithed]

Сообщение от Яростный Меч

Напомните, в чем был смысл вводить ограничение?

Руководствовались политикой одного источника.

К томуже кто вам сказал что нельзя сделать кроссдоменный xhr-запрос?

[Яростный Меч]

Сообщение от monolithed

Руководствовались политикой одного источника.

это более общая штука. по ней, например, нельзя залезть в документ внутри фрейма с чужого домена, и т.д.

а сделать запрос без куков на чужой домен всегда можно своим серверным кодом.
вот я и удивлялся, зачем эту возможность убирать на клиенте.

Сообщение от monolithed

К томуже кто вам сказал что нельзя сделать кроссдоменный xhr-запрос?

xhr2 - это понятно.
только без некоего заголовка в ответе он все равно не получится (а для работы с куками требуется ещё заголовок).
т.е. для кроссбраузерного ответа сервер должен "что-то специально сделать". Как в jsonp.