我有一个内部 Web 应用程序,旨在与客户端机器上本地运行的服务器协同工作。 (出于好奇:本地服务器用于使用客户端计算机的 GPG key 解密从服务器检索的数据。)
内部网络应用程序通过 HTTPS 提供,而本地应用程序可通过本地主机访问。过去,我可以毫无问题地从页面向本地主机发出未加密的 AJAX 请求;但似乎最近 Chrome 已更新为禁止从通过 HTTPS 服务的页面向任何目的地发出 HTTP 请求。
据我所知,在绝大多数情况下,来自通过 HTTPS 服务的页面的 HTTP 请求构成安全漏洞。但是,由于在这种情况下我可以完全控制端点(即本地主机),因此在我看来,即使主机页面已通过 HTTPS 提供服务,向该目的地发出 HTTP 请求仍然是绝对安全的。
这可能吗?以某种方式将本地主机列入白名单?
最佳答案
由于您同时控制着客户端和服务器,这听起来很适合 Cross-Origin Resource Sharing (CORS)。服务器必须设置一些响应 header 才能访问客户端。您可以在此处了解更多信息:http://www.html5rocks.com/en/tutorials/cors/
关于http - 我可以将来自通过 HTTPS 提供的页面的未加密流量的域列入白名单吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14470689/