Bonjour,
Je suis assez surpris ; en essayant ceci : xhr.open('GET','http://www.google.fr',true); // Ou n'importe quelle autre adresse distante
je me suis rendu compte qu'on ne récupérait rien : xhr.responseText et une chaine vide, xhr.responseXML vaut null et xhr.status vaut 0 . En clair, la requête est carrément avortée.

Merci de vos réponses.

C'est normal, c'est pour des raisons de sécurité... seul Internet Explorer (le 6 je suis sûr, le 8 je ne sais pas) permet de le faire.

Ok, merci.
Mais je ne vois pas le danger. Et surtout c'est facilement contournable : tu charges une iframe et tu récupères le contenu, c'est équivalent, non ?

bah va y, essaie de récupérer le contenu (en javascript toujours) d'une iframe distante

Maintenant tu peux faire un peu de requetes cross domaine, mais c'est pas la joie. Le plus simple c'est de foutre un reverse proxy quelque part

Reverse proxy c'est le truc qu'on avait galérer à mettre sur mon serveur pour couchDB non ?

probablement,

c'est le truc qui transforme une requete sur
http://mondomaine.com/google en
http://google.fr

et qu'on peut donc récupérer.

[ , trop lent, grillé x2]

Ok, j'essaie pas, je te crois. En réfléchissant, le danger est pour la page hôte en fait, puisque la page appelée peux modifier son code et nuire à la page hôte, c'est bien ça ? Je cherchais un danger pour la page appelé en fait, donc je trouvais pas.

Cela dis, rien empêche d'appeler une page de ton site, qui elle appelle une page d'un autre domaine.

Je passe en résolu, j'ai pas besoin de faire du cross domaine, c'est en testant la classe Ajax() que je me suis concocté que j'ai remarqué ça, et je comprenais pas.

Merci à vous

LCaba, tu vois pas les problèmes de sécurité ?

Exemple :

http://tiller.fr/, je met une iframe vers gmail.com. T'as mis la connexion automatique à gmail, donc ça t'envoie directement sur tes mails.

Je récupère le code source et Yata, Free porn email \o/

Ok je vois mieux. Alors que depuis le serveur, t'as pas accès aux données locales. Merci.

Un petite question toute bête, pourquoi le cross domaine est-il plus sécurisé alors ?

Parce qu'il faut faire une manip pour l'autoriser explicitement. Et je suppose qu'il y a moyen de restreindre l'accès à certaines urls ou ce genre de trucs. Y'a un tuto là dessus.