Rolf b: Formular kapern

Beitrag lesen

Wenn die Domains unterschiedlich sind, liegt XSS vor und das musst Du explizit ermöglichen. Das ist machbar, wenn Sender und Empfänger mitspielen. Dazu gibt es das CORS Konzept (Cross Origin Resource Sharing), eine Einführung findest Du hier. Ich selbst habe es noch nicht gemacht, ich wusste nur, dass es da etwas gab.

Auf diese Weise könntest Du per Ajax in der Domain B das Formular aus Domain A holen. Der Postback nach Domain A setzt zumindest mal voraus, dass das Form im nachgeladenen HTML eine absolute Adresse in der Action verwendet. Allerdings hast Du nun einen Post von Domain B zur Domain A, der nicht mehr per Ajax erfolgt sondern direkt vom Browser ausgelöst wird; ich weiß nicht, in wie weit das von CORS abgedeckt wird. Lies Dich in der MDN mal ein - hier im Self-HTML Wiki scheint mir das Thema etwas dünn behandelt (oder ich war zu dumm zum suchen).

Rolf