我们有一个使用自签名证书的Web应用程序,在服务器上安装后,浏览器将在" https://localhost" (不,为了论证,我会声明我们不能使用实际的机器名称)。 这将产生浏览器错误,因为" localhost"不是证书的域名。
一个选项,是在环回(localhost)上公开HTTP 上的应用程序。
我们的应用程序应该在服务器外部传递时加密,所以 - 问题..
是否存在允许HTTP访问我们的安全问题 在localhost上的应用程序(并且只在localhost上)?这会暴露出来吗? 应用程序从计算机外窥探?
可以假设,如果某人能够访问该机器的本地用户会话,那么我们就会有更大的担忧,因此缺乏HTTP将是无足轻重的。
答案 0 :(得分:4)
可能有其他进程嗅探loopback接口。它可能是在您的PC上运行的服务,嗅探并将数据发送到远程服务器。
您仍然可以使用带有域名的https,例如https://www.myowndomain.com,并在主机文件中将此域名映射到127.0.0.1