Beste cross domain access methode

Hoi,

Ik ben bezig met het uitwerken van een idee voor een website. In dit geval heeft deze website een belangrijke requirement: ik moet cross domain communicatie doen.

Voor diegenen die niet weten wat dit inhoud, ik wil het volgende: De webapplicatie draaiende in de browser van een gebruiker, opgestart via www.test.com, maakt een socket connectie naar een poort of andere webservice op domain www.blaat.com. Dit wordt afgeblocked door browsers om te voorkomen dat een webapplicatie bijvoorbeeld www.gmail.com inlaadt en zodoende toegang heeft tot informatie die niet publiekelijk is.

In mijn geval wil ik oftewel een raw socket, oftewel http requests kunnen versturen, maar ik wil geen toegang hebben tot bijvoorbeeld de browsers cookies. Dus daarmee wijkt het gevaar dat ik andere websites inlaadt en daarna content kan zien dat niet toegestaan is.

Mijn vraag is wat hiervoor een juiste aanpak is. Ik weet dat met Java applets (signed) ik dit in feite allemaal kan doen. Echter daarvoor moet de bezoeker de Java JRE geïnstalleerd hebben, en applets zijn van nature tráág, zeker bij de eerste keer opstarten. Daarnaast is signen duur, enkele honderden euro's per jaar.

Flash draaiende in de browser kan ook sockets opzetten naar een ander domain, echter deze vraagt dan als eerste een policy file op.. Aangezien ik geen controle heb over het target domain zal dat niet werken.

Zijn er ook mensen hier die wel eens succesvol een applicatie hebben geschreven dat crossdomain communicatie doet? Welke methode heb je gebruikt?

Bedankt :-)

Thanks beide. Server-Side werken is inderdaad een makkelijke oplossing, maar kan in dit geval niet gebruikt worden. Het is belangrijk dat het IP van de bezoeker van de website als origin geldt bi het fetchen van data van een remote website.

Grijze Vos, jsonp werk toch enkel als ik json data wil ophalen? Het geeft me niet de mogelijkheid om vrije get/post operaties te doen op een remote website? (vanuit de browser van de bezoeker)

Helaas heb ik geen controle over de remote server, die valt niet onder mijn beheer.

[ Voor 9% gewijzigd door Xandrios op 10-10-2011 13:25 ]

Thanks :-) Cors vereist de remote webserver nog wel om een speciale header te sturen; die zal er vaak niet zijn.

Flash heb ik eigenlijk al een beetje opgegeven; deze vereist een policy file of speciale policy server op het IP van de remote webserver. Het lijkt erop dat enkel een Java applet de mogelijkheid biedt om echt sockets te openen vanuit de browser en te connecten naar een andere host.

Vind het toch vreemd dat er zoveel security aanwezig is hiervoor. Indien er geen toegang is tot cookies ed, waarom worden ditq soort dingen nog zo veel afgeblokt in JS en Flash?

Thanks :-)

X-forwarded-for wordt door bijna elke webapplicatie genegeerd, de waarde ervan is namelijk vrij in te vullen. Voor bijv. Webserver access logs wordt eigenlijk altijd het originating IP gebruikt.

Wat ik wil doen is een dienst opzetten die bepaalde taken op 3rd party websites makkelijker maakt. Een random voorbeeld (niet realistisch, maar puur als technisch voorbeeld) is het bestellen van ns tickets vanuit een portaal. Deze portaal kan dan natuurlijk serverside ns.nl contacten dmv verschillende get/post commando's, maar er is een kans dat de website van de ns dat afblokt indien er veel verkeer is. Door dit vanuit de browser van de bezoeker te doen, is het (voor de ns) 'normaal' verkeer.

Dat is inderdaad het grootste probleem. In dat geval zal ns.nl mijn IP in hun access logs zien - en het zal me niets verwonderen als ze dit blokkeren omdat ze niet snappen waarom ik zoveel verkeer op hun website genereer.