Die Sicherheitslücke in WebGL erlaubt es unter Umständen, den Bildschirminhalt durch die manipulierten Shader auszulesen.

Chrome 13 verzichte - wie auch Firefox 5 - deshalb auf die Cross-Domain-Zulieferung und gibt einen Fehler ("DOM_SECURITY_ERR") aus. Um weiterhin Media-Daten von anderen Domains erhalten zu können, setzt Google auf das vom W3C vorgeschlagene Cross-Origin Resource Sharing (CORS), schreibt Entwickler Eric Bidelman im Chromium Blog. Dabei liegen die Daten auf einem Server mit CORS-Support. Den CORS-Support haben die Chrome-Entwickler in Webkit implementiert. Über ein ".crossOrigin"-Attribut können Anwendungen, die zuvor Cross-Origin-Textures genutzt haben, dann über den CORS-bereiten Server die benötigten Daten holen.

Trotz der CORS-Option werde es aber bestehende Inhalte geben, die nicht mehr korrekt dargestellt werden, schreibt Bidelman. Google sei mit Diensten wie Flickr im Gespräch und versuche, für den Einsatz zu werben. Der hauseigene Google-Dienst Picasa sende bereits CORS-Header, lässt der Google-Entwickler wissen. Wer es ausprobieren will, muss sich nach einem für sein System passenden Chrome-Browser im Developer-Channel umsehen.