[英]Https to http request
我对这些协议感到困惑。 在使用这些协议的情况下哪些请求可用:
我有一个 HTTPS 域和一个 HTTP 子域。 我可以从HTTPS请求到 HTTP(POST 和 GET)来检索数据吗?
例如:
$.getJSON('http://api.domainName.com/api/Visitor/GetStates/' + countryId, function(data) {
$.each(data, function(key, value) {
$("#StateId").html($("#StateId").html() +
"<option value='" +
value.StateId +
"'>" +
value.StateName +
"</option>"
);
});
}
此请求来自: https : //domainName.com/
更重要的是我解决了子域中的 CORS 问题。
您还需要将 Ajax 请求切换到 https。
好吧,如果原始 html 页面在 https 中并且请求资源在 http 中,浏览器将不会阻止任何资源(脚本、链接、iframe、XMLHttpRequest、fetch)下载。
浏览器抛出混合内容错误。
摘自 Mozilla MDN
混合活动内容是可以访问 HTTPS 页面的全部或部分文档对象模型的内容。 这种类型的混合内容可以改变 HTTPS 页面的行为,并可能窃取用户的敏感数据。 因此,除了上述混合显示内容的风险外,混合活动内容还容易受到其他一些攻击媒介的攻击。
在混合活动内容的情况下,中间人攻击者可以拦截对 HTTP 内容的请求。 攻击者还可以重写响应以包含恶意 JavaScript 代码。 恶意活动内容可以窃取用户的凭据、获取有关用户的敏感数据或尝试在用户系统上安装恶意软件(例如,通过利用浏览器或其插件中的漏洞)。
混合内容所涉及的风险取决于用户访问的网站类型以及暴露于该网站的数据的敏感程度。 该网页可能具有全世界可见的公共数据或仅在经过身份验证时才可见的私有数据。 如果网页是公开的并且没有关于用户的敏感数据,使用混合活动内容仍然为攻击者提供了将用户重定向到其他 HTTP 页面并从这些站点窃取 HTTP cookie 的机会。
有用的文档链接
MDN - https://developer.mozilla.org/en-US/docs/Web/Security/Mixed_content
Google 开发人员 - https://developers.google.com/web/fundamentals/security/prevent-mixed-content/what-is-mixed-content
http://api.domainName.com/api/Visitor/GetStates/接口添加标题“Access-Control-Allow-Origin:*”
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.