W3C will Kommunikation zwischen Webapplikationen ermöglichen

Der Entwurf von HTML5 Web Messaging definiert Mechanismen zur Kommunikation von Webapplikationen, die in verschiedenem Browserkontext laufen. So ist es möglich, mit einer Webapplikation auf Daten in einer Webseite zuzugreifen, die in einem eingebetteten iFrame stecken, das von einer anderen Domain geladen wurde. Die in HTML5 Web Messaging definierten Mechanismen sollen dabei sicherstellen, dass diese nicht für Cross-Site-Scripting genutzt werden können.

Bislang verhindern Browser die Kommunikation zwischen Webapplikationen unterschiedlicher Quellen, um zu verhindern, dass Angreifer auf diesem Web persönliche Daten auslesen können. Wäre für Webapplikationen ein uneingeschränkter Zugriff auf Daten im Browser möglich, wäre es leicht, Logindaten und Passwörter aus Formularen auszulesen. Dennoch gibt es immer wieder Sicherheitslücken, die ein solches Cross-Site-Scripting ungewollt ermöglichen.

Die strenge Anwendung des Prinzips, dass nur Scripte aus der gleichen Quelle aufeinander zugreifen können, macht aber zugleich Webentwicklern das Leben schwer und die Umsetzung so mancher Applikation unmöglich. HTML5 Web Messaging soll einen Ausweg aus dem Dilemma bieten und setzt dazu auf begrenzte Schnittstellen für den Datenaustausch zwischen Webapplikationen im Browser.

Statt einen direkten Zugriff der Webapplikationen untereinander zu erlauben, sieht der neue Standard vor, dass Webapplikationen Nachrichten beispielsweise über zuvor definierte "Channels" an eingebettete iFrames senden können. Die Adressaten müssen die Nachrichten aus den Channels abholen und auswerten.

Noch ist HTML5 Web Messaging nur ein Entwurf. Das W3C warnt deutlich, die Spezifikation könne sich noch ändern.