我目前正在实施Firebase,以便在非完全HTTPS webapp上发送Webpush通知。由于webpsuh正在使用服务工作者,我做了一些研究,并在Google Developers website上声明:
您只能在通过HTTPS服务的网页上注册服务工作者,因此我们知道浏览器接收的服务工作者在通过网络的过程中未被篡改。
这是否意味着可以从HTTPS页面注册服务工作者,即使网站的其余部分是HTTP ?
提前感谢您的任何澄清!
修改
我在w3c Github上找到了这个conversation,它说服务工作者应该通过HTTPS服务,据我所知,只要服务与服务工作者的通信,就可以有其他HTTP页面通过HTTPS,我能做到这一点吗?
关于debate关于规格,@ jyasskin说:
如果请求SW的页面不安全,并且SW是https但在攻击者控制的域上,则您根本没有获得任何内容。是的,整个应用程序需要是https。
但是在服务工作者规范完全设置之前就已经说过了,所以不确定这是否是指定的最终方式。
答案 0 :(得分:0)
我已经在github上打开了一个与此特定问题相关的issue的直言。
他们很快就回复说可能从HTTPS页面注册,即使网站的其余部分是HTTP,只要它在secure context中。
浏览器会将https和http页面视为2个不同的网站,但服务工作者将无法控制http网站。