我有一个https网站,需要来自API的数据,该网址仅在http。
中提供为了解决混合内容警告,我更改了它,以便JS在服务器上请求一个路径,然后发出http请求并返回数据。
这不好吗?如果不好,为什么?
答案 0 :(得分:1)
我对你正在做的事情的理解:
您在服务器上提供了一个HTTPS网址,它实际上充当代理服务器,通过HTTP在您的服务器和API提供商之间建立后端连接。
如果我对你所做的事情的理解是正确的,那么你所做的事情要比通过HTTP服务一切更好......
您在客户端和服务器之间提供安全性。利用普通HTTP连接的大多数安全威胁都在客户端的本地环境中 - 例如在共享本地网络上。在咖啡馆的狡猾的wifi。学校的lans。等
您的服务器和API提供商之间的连接是未加密的,但显然他们只提供未加密的连接。除非您的API提供商开始提供HTTPS接口,否则这是您可以做的最好的事情。
它比什么都不做更安全,应该消除浏览器错误。
但是,如果确实需要安全性(PCI合规性,HIPAA等),则应停止使用该API。但是,考虑到你问题中的间接证据似乎不太可能。