<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html;charset=ISO-8859-15"
 http-equiv="Content-Type">
</head>
<body bgcolor="#ffffff" text="#000000">
<blockquote type="cite">On Fri, 20 Feb 2009 19:36:47 +0100, Bil Corry
<a class="moz-txt-link-rfc2396E" href="mailto:bil@corry.biz"><bil@corry.biz></a> wrote:
  <br>
  <br>
  <blockquote type="cite">Sigbjørn Vik wrote on 2/20/2009 8:46 AM:
    <br>
    <blockquote type="cite">One proposed way of doing this would be a
single header, of the form:
      <br>
x-cross-domain-options: deny=frame,post,auth; AllowSameOrigin;
      <br>
allow=*.opera.com,example.net;
      <br>
This incorporates the idea from the IE team, and extends on it.
      <br>
    </blockquote>
    <br>
Have you taken a look at ABE?
    <br>
    <br>
    <a class="moz-txt-link-freetext" href="http://hackademix.net/wp-content/uploads/2008/12/abe_rules_03.pdf">http://hackademix.net/wp-content/uploads/2008/12/abe_rules_03.pdf</a>
    <br>
  </blockquote>
  <br>
I am not quite certain what you are referring to, the document is a
ruleset for how to express what is allowed and disallowed. Do you mean
that clients should be using a URL list, or that servers should be
using this particular grammar to decide which headers to send with
their URLs?
  <br>
For a domain wide policy file a document like this might work well
though.
</blockquote>
ABE is meant to be configured in 3 ways:<br>
<ol>
  <li>With user-provided rules, deployed directly client-side</li>
  <li>With community-provided rules, downloaded periodically from a
trusted repository<br>
  </li>
  <li>As a site-wide policy deployed on the server side in a single
file, much like crossdomain.xml</li>
</ol>
See <a class="moz-txt-link-freetext" href="http://hackademix.net/2008/12/20/introducing-abe/">http://hackademix.net/2008/12/20/introducing-abe/</a> and especially
this <a class="moz-txt-link-freetext" href="http://hackademix.net/2008/12/20/introducing-abe/#comment-10165">http://hackademix.net/2008/12/20/introducing-abe/#comment-10165</a>
comment about site-provided rules and merging.<br>
--<br>
Giorgio<br>
<br>
Sigbjørn Vik wrote, On 23/02/2009 11.42:
<blockquote cite="mid:op.upsv0srx41y844@id-c0735.oslo.opera.com"
 type="cite">On Fri, 20 Feb 2009 19:36:47 +0100, Bil Corry
<a class="moz-txt-link-rfc2396E" href="mailto:bil@corry.biz"><bil@corry.biz></a> wrote:
  <br>
  <br>
  <blockquote type="cite">Sigbjørn Vik wrote on 2/20/2009 8:46 AM:
    <br>
    <blockquote type="cite">One proposed way of doing this would be a
single header, of the form:
      <br>
x-cross-domain-options: deny=frame,post,auth; AllowSameOrigin;
      <br>
allow=*.opera.com,example.net;
      <br>
This incorporates the idea from the IE team, and extends on it.
      <br>
    </blockquote>
    <br>
Have you taken a look at ABE?
    <br>
    <br>
    <a class="moz-txt-link-freetext" href="http://hackademix.net/wp-content/uploads/2008/12/abe_rules_03.pdf">http://hackademix.net/wp-content/uploads/2008/12/abe_rules_03.pdf</a>
    <br>
  </blockquote>
  <br>
I am not quite certain what you are referring to, the document is a
ruleset for how to express what is allowed and disallowed. Do you mean
that clients should be using a URL list, or that servers should be
using this particular grammar to decide which headers to send with
their URLs?
  <br>
For a domain wide policy file a document like this might work well
though.
  <br>
  <br>
  <blockquote type="cite">
    <blockquote type="cite">For cross-domain resources, this means that
a browser would first have
      <br>
to make a request with GET and without authentication tokens to get the
      <br>
x-cross-domain-options settings from the resource. If the settings
      <br>
allow, a second request may be made, if the second request would be
      <br>
different. The result of last request are handed over to the document.
      <br>
    </blockquote>
    <br>
Have you considered using OPTIONS for the pre-flight request, similar
to how Access Control for Cross-Site Requests does it?
    <br>
    <br>
    <a class="moz-txt-link-freetext" href="http://www.w3.org/TR/access-control/#cross-site2">http://www.w3.org/TR/access-control/#cross-site2</a>
    <br>
  </blockquote>
  <br>
Good point. Trying to use OPTIONS for existing servers might break
them, a GET might be safer. Then again, OPTIONS shouldn't break
anything, GETs might have side-effects where OPTIONS don't, and an
OPTIONS reply typically has a much smaller payload than a GET reply. In
the case of a reply to a pre-flight request where the user agents has
cookies but the server replies that contents are the same with or
without cookies, an OPTIONS request would require two requests, a GET
only one. OPTIONS is probably more in the spirit of HTTP though.
  <br>
  <br>
Either could work, the idea is the same. Which would be better would
have to be researched empirically, but OPTIONS might be the better
candidate.
  <br>
  <br>
</blockquote>
<br>
</body>
</html>