browser - 来自安全页面的不安全 XMLHttpRequest 调用
问题描述
在我们公司,我们需要实现一个自托管的 Rest 服务,该服务必须部署在客户端工作站中,以便我们的内部 Web 应用程序与它们进行交互。Web 应用程序位于 https 中,目前我们没有使用 CSP 标头。
我们关心的是是否有必要在 https 中调用本地服务,或者这可以避免(因此我们可以避免管理证书以部署在每个工作站中)。
我们对 Chrome 和 Edge 进行了一些试验,似乎 ajax 调用也可以在普通 http 中工作,但我们想知道这是否真的受支持。目前,我们的内部 Web 应用程序未使用内容安全策略标头。
谢谢!
解决方案
在 HTTPS 连接上,浏览器会将 HTTP 内容作为混合内容阻止,CSP 不会改变这一点。但是,Chrome 将允许在http://127.0.0.1和http://localhost上混合内容,而 Firefox 将允许在http://127.0.0.1上混合内容,请参阅https://developer.mozilla.org/en-上的注释美国/docs/Web/Security/Mixed_content。
当您实现 CSP 时,您应该为相应的指令包含http://127.0.0.1(或http://localhost )。
推荐阅读
- java - 简单工厂 VS 工厂方法(为什么要使用工厂方法)
- django - 带有 Django Paginator 请求问题的 Pandas 表
- reactjs - Functional React Components Hooks ---- 我想在视频列表中添加播放/暂停功能(功能组件)
- sql - 返回日期 超过目标日期 7 天 | SQL
- android - 在 jitpack 错误上创建 android 库
- django - 如何从节拍调度程序可用的池中排除工作人员?
- python - 如何根据单独数据框中的列值的存在来过滤数据框的行并从第二个数据框中附加列
- python - 如何以随机方式为每个 mqtt 客户端发布多个随机消息,而不是使用 python 客户端按顺序发布到同一个代理?
- microsoft-graph-api - 带有附件的 MS Graph SendMail
- docker - 无法通过端口映射从外部主机访问 docker 容器