Hi,

LOL - Im eingebundenen Script *sind* die nachgeladenen Daten, und es kann jederzeit weitere einbinden mit weiteren Daten aus jeder Ecke der Welt, wenn es will, bzw. wenn sein Programmierer es will. Wenn das keine Sicherheitslücke ist...

Das wäre eine, die du dir selbst einhandelst, wenn du als Ersteller der Seite dem Anbieter des ersten, externen Scriptes vertraust.

Das zu unterbinden, ist nicht Aufgabe der SOP.

Aufgabe der SOP ist, zu verhindern, dass ich deine Seite bspw. in einem Frame anzeige, und dann von einem anderen Frame aus die Logindaten, die der Nutzer in dein Loginformular eingibt, abgreife.

Ob und in wie fern es sinnvoll ist, dass die SOP auch bspw. AJAX-Requests an andere Domains einschränkt/unterbindet, könnte man diskutieren. Man mag vielleicht der Ansicht sein, dass sie diesbezüglich zu pauschal implementiert ist.

MfG ChrisB