[英]AJAX calls with relative URLs are going to HTTP for a site served over HTTPS
我們將站點托管在負載均衡器后面的IIS服務器上。 LB執行SSL卸載,其背后的所有內容都使用HTTP。
問題在於,使用相對URL指向同一Web服務器的服務頁面中的AJAX請求正在嘗試通過HTTP而不是HTTPS進行連接。 這會使我們的CSP策略失效,並且由於內容混合,通常不會渲染。 如果在客戶端的瀏覽器中解析了這些URL,為什么會發生這種情況?
該URL當前如下所示:
url: '/controller/someaction'
例如https:// host / controller / action等頁面上的哪個試圖調用http:// host / controller / someaction
如果我們使用協議相對路徑:
url: '//controller/someaction'
我們完全失去了主機,它嘗試調用https:// controller / someaction
設置upgrade-insecure-requests存在一個問題,該問題當前會導致無限重定向循環。 從長遠來看,這可能是解決問題的方法,但是添加響應頭會帶來比短期內解決的問題更多的問題。 可能存在涉及ajaxSetup / beforeSend的黑客來修改URL,但這確實很臟。 我們可以遍歷整個代碼庫,並將URL更改為'https://'+ windows.location.host +'/ controller / someaction',但這感覺很臟而且很耗時。
搜索表明,如果URL(當前URL或請求URL)以“ /”結尾,則行為可能會有所不同,但實驗表明,在所有組合中我們都看到相同的行為。
知道為什么會這樣嗎? 我們寧願不更改SSL卸載行為,但如果它是唯一的選擇,則可以。
我最好的猜測是,禁用SSL卸載將為您解決此問題,負載平衡器背后的服務器無法知道將使用HTTPS進行響應,瀏覽器將阻止HTTP響應並迅速發展。
API 數據超過 http 在通過 https 提供服務的站點中,腳本有“混合內容”錯誤
[英]API data over http in site served over https, script has “mixed content” error
通過 HTTP 而不是 HTTPs 服務的 API 調用導致 React/Axios 出錯
[英]API calls served over HTTP instead of HTTPs results in error in React/Axios
作為通過 HTTPS 提供的服務,在同一域但不同端口上通過 HTTP 提供頁面是否有任何安全隱患?
[英]Are there any security implications of serving a page over HTTP on the same domain, but different port, as a service served over HTTPS?
來自Codeigniter網站上的Javascript文件中通過HTTP提供的內容不安全的內容警告
[英]Insecure Content Warning for content served over http from Javascript File on Codeigniter Site
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.