Mozilla Aims At Cross-Site Scripting With FF3 - InternetNews.

GNUCITIZEN経由。

ついにXMLHttpRequest(XHR)でクロスドメインなアクセスが!

Flashのcrossdomain.xmlみたいなセキュリティモデルを採用したXHRが、Firefox3のAlpha7に実装されるそうです。

ベースはW3CのDraftである「Cross-Origin Resource Sharing」とのこと。

GNUCITIZENの記事ではボロクソに言われています。確かに、これがXSS対策だと言われると、そういう面も無くはないけど、だいぶ話がズレてるんじゃない?と思ってしまいます。

これとは別に、Cookieが飛ばなくてクロスドメインアクセス可能なXHRという案もあったはず。

もう少し調べてみたいなと思います。