Lieber Tom,

was ist denn, wenn Du ein Popup öffnest und darin die Ressource anforderst?

was ist der Unterschied, ob ich ein XHR-Objekt, ein new Image(), ein Popup oder ein <iframe> benutze? Es kommt immer auf dasselbe hinaus. In dem Moment, wo ich von einer fremden Domain etwas mittels JavaScript wissen will, habe ich unüberwindliche Hürden, da mich der Browser das Dokument von der anderen Domain nicht anschauen lässt.

Ich glaube, das war der Ansatz der "XSS security issues", denn wenn dem nicht so wäre, dann könnte ein beliebiges Popup ausspähen, welche Session-ID ich bei meinem online-Banking habe, diese per simplem GET-Request an einen beliebigen Webserver weitergeben, wo dann ein Angreifer nur darauf wartet, mit meiner Session mein Konto abzuräumen.

Dabei will ich das Dokument doch überhaupt nicht "anschauen", ich will nur wissen, ob es existiert... oder kommt das auf dasselbe hinaus?

Wer kennt sich damit genauer aus?

Liebe Grüße,

Felix Riesterer.