Baba: Same-Origin-Policy

Beitrag lesen

Also können Fremdseiten gar nicht per Ajax anfragen (es sei denn, der Browser ist "geknackt"). Und ich kann diesen Service gar nicht befreundeten Seiten zur Verfügung stellen.

Ahso, wenn Du den Service befreundeten Seiten zur Verfügung stellen willst, geht das natürlich so nicht. Du brauchst eben irgendeine Art Authentifizierung. Zum Beispiel: Du und Dein befreundeter Server einigt auch auf einen Code, der per URL mitgesendet wird und ausgewertet wird. Weiterhin könnte sich dieser Code über die Zeit ändern. Nach einer Vorschrift, die eben Zeitabhängig ist, die aber nur ihr kennt.

Beispiel (nicht getetsted):
$Code = md5(date("yzH")."password"); // wechselt stündlich: Z.B md5(1315517."password")

Bei "password" könntest Du diesen Algorithmus noch etwas individualisieren.

Du müsstest stets den aktuellen und den Code der letzten Stunde zulassen, damit es beim Stundenwechsel nicht zu unschönen Ablehnungen kommt.

Cheers,
Baba