On Wed, Nov 12, 2008 at 4:22 PM, Tim Starling <span dir="ltr"><<a href="mailto:tstarling@wikimedia.org">tstarling@wikimedia.org</a>></span> wrote:<br><div class="gmail_quote"><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
JavaScript already has measures along the lines of (2), in the context<br>
of frames. The information a script can obtain about a frame from a<br>
different origin is carefully restricted. I think that a similar<br>
solution would be best. It has the advantage of consistency and proven<br>
security.<br>
</blockquote><div> </div></div>I would say it has a history of proven *insecurity*. Look at clickjacking for example.<br><br>Anyway, having discussed this with Hixie and Maciej and others a bit on #whatwg, things seem to be leaning towards option 2.<br clear="all">
<br>Rob<br>-- <br>"He was pierced for our transgressions, he was crushed for our iniquities; the punishment that brought us peace was upon him, and by his wounds we are healed. We all, like sheep, have gone astray, each of us has turned to his own way; and the LORD has laid on him the iniquity of us all." [Isaiah 53:5-6]<br>