我有一个内部Web应用程序,旨在与客户端计算机上本地运行的服务器协同工作。 (好奇:本地服务器用于解密使用客户端计算机的GPG密钥从服务器检索的数据。)
内部网络应用程序通过HTTPS提供,而本地应用程序可通过localhost访问。过去,我可以将未加密的AJAX请求从页面发送到localhost而不会出现任何问题;但似乎最近Chrome已更新为禁止通过HTTPS提供的网页向任意目的地发出HTTP请求。
据我所知,在绝大多数情况下,来自通过HTTPS提供的页面的HTTP请求构成了安全漏洞。但是,由于我在这种情况下完全控制了端点(即localhost),在我看来,即使主机页面已通过HTTPS提供服务,对该目的地发出HTTP请求仍然是完全安全的。 / p>
这可能吗?以某种方式将localhost列入白名单?
答案 0 :(得分:1)
由于您可以控制客户端和服务器,因此它听起来像Cross-Origin Resource Sharing(CORS)的良好候选者。服务器必须设置一些响应标头才能访问客户端。您可以在此处了解详情:http://www.html5rocks.com/en/tutorials/cors/