我是否可以将通过HTTPS提供服务的页面中未加密流量的域列入白名单?
我有一个内部web应用程序,它被设计为与客户端机器上本地运行的服务器协同工作。(出于好奇:本地服务器用于解密使用客户端计算机的GPG密钥从服务器检索到的数据。) 内部web应用程序通过HTTPS提供服务,而本地应用程序可以通过localhost访问。过去,我可以从页面向localhost发出未加密的AJAX请求,而不会出现任何问题;但最近Chrome似乎被更新为不允许通过HTTPS服务的页面向任何目的地发送HTTP请求 我知道在绝大多数情况下,来自通过HTTPS服务的页面的HTTP请求构成了安全漏洞。但是,由于在本例中我完全控制了端点(即localhost),因此在我看来,即使主机页已通过HTTPS提供服务,向该目的地发出HTTP请求也应该是完全安全的我是否可以将通过HTTPS提供服务的页面中未加密流量的域列入白名单?,http,google-chrome,https,cross-domain,Http,Google Chrome,Https,Cross Domain,我有一个内部web应用程序,它被设计为与客户端机器上本地运行的服务器协同工作。(出于好奇:本地服务器用于解密使用客户端计算机的GPG密钥从服务器检索到的数据。) 内部web应用程序通过HTTPS提供服务,而本地应用程序可以通过localhost访问。过去,我可以从页面向localhost发出未加密的AJAX请求,而不会出现任何问题;但最近Chrome似乎被更新为不允许通过HTTPS服务的页面向任何目的地发送HTTP请求 我知道在绝大多数情况下,来自通过HTTPS服务的页面的HTTP请求构成了安全
这可能吗?是否以某种方式将本地主机列入白名单?由于您同时控制客户端和服务器,因此它听起来是(CORS)的一个很好的候选。服务器必须设置一些响应头才能访问客户端。您可以在这里了解更多信息:因为您同时控制客户端和服务器,所以它听起来是(CORS)的一个很好的候选。服务器必须设置一些响应头才能访问客户端。您可以在此处了解更多信息: