Https 到 http 请求

Question

我对这些协议感到困惑。 在使用这些协议的情况下哪些请求可用：

• HTTP 到 HTTP
• HTTPS到 HTTP
• HTTP 到HTTPS
• HTTPS到HTTPS

我有一个 HTTPS 域和一个 HTTP 子域。 我可以从HTTPS请求到 HTTP（POST 和 GET）来检索数据吗？

例如：

$.getJSON('http://api.domainName.com/api/Visitor/GetStates/' + countryId, function(data) {
  $.each(data, function(key, value) {
    $("#StateId").html($("#StateId").html() +
      "<option value='" +
      value.StateId +
      "'>" +
      value.StateName +
      "</option>"
    );
  });
}

此请求来自： https : //domainName.com/

更重要的是我解决了子域中的 CORS 问题。

Answer 1

您还需要将 Ajax 请求切换到 https。

Answer 2

好吧，如果原始 html 页面在 https 中并且请求资源在 http 中，浏览器将不会阻止任何资源（脚本、链接、iframe、XMLHttpRequest、fetch）下载。

浏览器抛出混合内容错误。

摘自 Mozilla MDN

混合活动内容是可以访问 HTTPS 页面的全部或部分文档对象模型的内容。 这种类型的混合内容可以改变 HTTPS 页面的行为，并可能窃取用户的敏感数据。 因此，除了上述混合显示内容的风险外，混合活动内容还容易受到其他一些攻击媒介的攻击。

在混合活动内容的情况下，中间人攻击者可以拦截对 HTTP 内容的请求。 攻击者还可以重写响应以包含恶意 JavaScript 代码。 恶意活动内容可以窃取用户的凭据、获取有关用户的敏感数据或尝试在用户系统上安装恶意软件（例如，通过利用浏览器或其插件中的漏洞）。

混合内容所涉及的风险取决于用户访问的网站类型以及暴露于该网站的数据的敏感程度。 该网页可能具有全世界可见的公共数据或仅在经过身份验证时才可见的私有数据。 如果网页是公开的并且没有关于用户的敏感数据，使用混合活动内容仍然为攻击者提供了将用户重定向到其他 HTTP 页面并从这些站点窃取 HTTP cookie 的机会。

有用的文档链接

MDN - https://developer.mozilla.org/en-US/docs/Web/Security/Mixed_content

Google 开发人员 - https://developers.google.com/web/fundamentals/security/prevent-mixed-content/what-is-mixed-content

Answer 3

http://api.domainName.com/api/Visitor/GetStates/接口添加标题“Access-Control-Allow-Origin：*”