我有一个GAEJ应用程序,到目前为止还没有处理敏感数据。出于这个原因,它很高兴在http://下运行 我正在使用GWT-RPC进行客户端服务器调用。
但是我现在想要开始存储客户名称和地址,我想开始使用https。
我理解它必须使用https://www.xxxxx.appspot.com/域名。
我的问题是如何创建我的网站的子部分,只处理客户端感知数据,让我的网站其余部分保持不变?
例如,如果我在web.xml中添加以下安全性约束:
<security-constraint>
<web-resource-collection>
<url-pattern>/xxxxx/admin/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
如何告诉应用程序仅对某些RPC使用https,而不是全部使用? 换句话说,是否可以保留它以便我的用户仍然可以使用http访问我的网站: http://www.xxxxx.appspot.com/ 当他们使RPC发送或接收通过https完成的敏感数据时<?p>
我应该使用RequestBuilder构建我的GWT-RPC为https吗?但如果我这样做,我如何绕过浏览器同源政策?
肯定有办法做到这一点,这一定是一个很常见的问题吗?
答案 0 :(得分:0)
当您从https://blah提供页面时,AJAX调用的跨域策略将不允许您对http://blah执行RPC
可以使用iframe或标题来克服这个问题:
Access-Control-Allow-Origin: https://www.mysite.com
但我不知道GWT是否可行。