<html><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><br><div><div>On Sep 28, 2008, at 3:32 AM, Robert O'Callahan wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><div dir="ltr">On Sun, Sep 28, 2008 at 10:52 PM, Michal Zalewski <span dir="ltr"><<a href="mailto:lcamtuf@dione.cc">lcamtuf@dione.cc</a>></span> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"> <div class="Ih2E3d">other browsers are getting cross-domain XMLHttpRequest headers</div></blockquote><div><br>Using the W3C Access Controls spec, which I am suggesting to reuse here. If you're not familiar with that spec, it's here: <a href="http://www.w3.org/TR/access-control/">http://www.w3.org/TR/access-control/</a><br> <br></div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">Now consider that "I-Do-Not-Want-To-Be-Loaded-Across-Domains" is also inherently incompatible with mashups, content separation, gadgets, etc, and there is a very vocal group of proponents and promotors for these technologies (which is why browser vendors are implementing cross-domain XMLHttpRequest to begin with). So we would probably rather want to say "I-Want-To-Be-Loaded-Only-By: <list_of_domains>".</blockquote> <div><br>I'm suggesting just reusing the Access Controls spec for that.<br><br>So for example, the server could say:<br>Same-Origin-Only-Unless-Access-Controls-Says-Otherwise: yes<br>Access-Control-Allow-Origin: <a href="http://example.com">http://example.com</a></div></div></div></blockquote><div><br></div><div>I think this is a really good proposal. It would allow Web sites to place all content under a single uniform policy for access control, as opposed to the state today where cross-site access depends on how the resource is embedded.</div><div><br></div><div>Would "Require-Access-Control" be an adequate synonym for "Same-Origin-Only-Unless-Access-Controls-Says-Otherwise", on the assumption that same-origin access always satisfies access control?</div><div><br></div><div>Regards,</div><div>Maciej</div><div><br></div></div></body></html>