阅读CORS spec声明 [abridged] :
...允许用户代理终止算法,而不是 发出请求。这可以做到,因为例如:
...
- 不允许使用https到http。
...
这似乎是Chrome中的行为,但我没有在各种浏览器供应商文档中找到对此行为的任何引用。
出于性能原因,我们希望从https页面为某些内容发出http请求。这是对完全使用正确的CORS标头的不同域的请求来执行http请求(其工作正常http-> http)。
是否有任何标题可以设置为允许https - > HTTP?在单个域/子域上禁止混合模式似乎是明智的,但是跨域似乎过于保护,特别是如果其他域通常允许http。