Javascript 使用不带https的加密库时存在哪些安全威胁？

我在玩JavaScript，我知道如果没有https，WebCryptoAPI是不可用的，但我想要局域网上的web服务器和浏览器之间的加密功能。 使用带有自签名证书的https将向用户显示一条丑陋的警告消息，这使得它不适合我的用例。 我还尝试将iframe嵌入在线托管的https网页中，并使用服务工作者的有效证书，以便由iframe的父页面通过postmessage api进行加密，但当https页面脱机时，子脚本api在某些浏览器上不可用

那么你能提出一些建议吗

请不要杀我，我是初学者

使用带有自签名证书的https将向用户显示一条丑陋的警告消息，这使得它不适合我的用例

你想要的。您可以使用Certbot获取免费TLS证书。Certbot甚至会为您续订

如果您想尝试在根本不使用HTTPS的情况下继续。这是一个愚蠢的想法

---

HTTPS是好的、免费的；用它

您可以免费获得非janky letsencrypt证书，使用https消除恼人的消息。实际上，任何人都可以替换代码的功能、窃取击键、查看流量等。这并不是获得网络基础设施帮助的地方。也就是说，如果你注册了一个域名，那么你有没有考虑过让我们来加密一下？您可以使用他们的certbot轻松获得免费的SSL/TLS证书。我将它们用于个人网站，它们可以自动更新，而无需我以任何方式进行干预。Let's Encrypt提供的证书可以在LAN上使用吗？。另外，什么地方是获得网络基础设施帮助的好地方？我不相信它可以，不。如果你想让CA在没有外部访问的私有网络上工作，那么你可能需要推出自己的CA（网上有很多资源详细介绍了如何做到这一点）。或者，您可以研究是否可以将防火墙配置为仅将公共连接的

/.well-known/acme challenge

路径列入白名单。可能存在其他替代方案。您在此问题域中获得帮助的最佳选择是。他们应该能够更好地回答您的问题：）如果您控制域名，我们可以在局域网上使用Let’s Encrypt证书。