iPad 浏览器是否会在 Ajax 请求期间寻找 CA 对服务器提供的 SSL key 的识别?
我正在开发的移动应用程序将使用 PhoneGap这意味着在加载其他资源时已经加载了主页。因此,对服务器的 Ajax 请求本质上是基于 SSL 的 CORS。
我在威胁评估中面临的最后一个关键问题是如何避免恶意用户欺骗 DNS 服务的可能性,以便将请求发送到另一台服务器并可能上传敏感数据。为此,我想知道浏览器是否会在发送请求之前完全验证 SSL key ?
如果不是,是否有另一种方法可以确保我的 Ajax 请求到达正确的位置?除了将 IP 地址硬编码到应用程序中? (这仍然会留下轻微的漏洞)
谢谢! 泰勒
更新:
我相信我已经回答了这个问题,答案是"is"。
希望我能提供一个明确的答案,就像对 XmlHTTPRequests 的 HTML 规范的引用一样,但我所拥有的只是实验结果。
我启动了一个 PhoneGap 应用程序,并能够从中发出一个简单的 jQuery.ajax() 请求
- https://www.google.com/(惊喜)
- http://www.pcwebshop.co.uk/
都返回了 HTTP 状态 200 等,这并不奇怪。
但是https://www.pcwebshop.co.uk/ ,具有自签名证书,失败并且 jqXHR 请求对象具有以下内容:
- textStatus: '错误'
- 状态:0(不是 XXX HTTP 状态)
- 响应文本:[空]
所以这是一个归纳结论,但应该有效。如果有人可以规范地回答这个问题,仍然很感兴趣。
最佳答案
如果不验证服务器证书是否可信,它就不会正确实现 HTTPS/SSL。注意“证书”不是“ key ”。
关于ajax - 浏览器是否使用 CA 为 CORS Ajax 请求验证 SSL key ?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10287651/