Ajax за допомогою https на сторінці http

Мій сайт використовує протокол http та https; це не впливає на вміст. Мій сайт використовує дзвінки jQuery ajax, які також заповнюють деякі області на сторінці.

Тепер я хотів би робити всі дзвінки ajax через https. (не питай мене, чому :)) Коли я перебуваю на сторінці з протоколом https, запити ajax працюють. Коли я перебуваю на сторінці з протоколом http, я отримую помилку javascript: Доступ до обмеженого URI відхилений

Я знаю, що це проблема міждоменного зв’язку (насправді це проблема крос-протоколу), і я знаю, що я повинен використовувати той самий протокол у викликах ajax, як на поточній сторінці.

Проте я хочу, щоб усі дзвінки ajax були https, і називати їх на сторінці, яка надсилалася через http. Чи є якесь вирішення для досягнення цього (якесь рішення json / proxy?), Чи це просто неможливо?

Додайте заголовок Access-Control-Allow-Origin із сервера

Access-Control-Allow-Origin: https://www.mysite.com

http://en.wikipedia.org/wiki/Cross-Origin_Resource_Sharing

Спробуйте JSONP.

Більшість бібліотек JS роблять це так само просто, як і інші AJAX-дзвінки, але внутрішньо використовують iframe для виконання запиту.

якщо ви не використовуєте JSON для своєї корисної навантаження, вам доведеться розгорнути власний механізм навколо iframe.

особисто я просто перенаправляю сторінку http: // на сторінку https: //

http://example.com/ може вирішити інший VirtualHost, ніж https://example.com/ (який, оскільки заголовок хоста не надсилається, відповідає за замовчуванням для цього IP), тому обидва трактуються як окремі доменів і, таким чином, підпадають під обмеження міждоменного JS.

Зворотні виклики JSON можуть уникнути цього.

Ознайомтеся з проектом Forge з відкритим джерелом Він забезпечує реалізацію JavaScript TLS разом із деякими Flash для обробки фактичних запитів між доменними:

http://github.com/digitalbazaar/forge/blob/master/README

Коротше кажучи, Forge дозволить вам робити XmlHttpRequests з веб-сторінки, завантаженої через http, на https-сайт. Вам потрібно буде надати через ваш сервер файл політики міждоменної політики Flash, щоб увімкнути міждоменні запити. Перегляньте публікації блогу в кінці README, щоб отримати більш поглиблене пояснення того, як це працює.

Однак я мушу зазначити, що Forge краще підходить для запитів між двома різними https-доменами. Причина в тому, що можлива атака MiTM. Якщо ви завантажуєте JavaScript і Flash з незахищеного сайту, це може бути порушено. Найбезпечніше використання - це завантажити його з захищеного сайту, а потім використовувати його для доступу до інших сайтів (захищених чи іншим чином).

Ви можете спробувати завантажити https сторінку в iframe і прокласти всі запити ajax в / з кадру через якийсь міст, це хакінг, але це може спрацювати (не впевнений, чи встановлять ті самі обмеження доступу з огляду на захищений контекст) . В іншому випадку прийнятним рішенням стане локальний http-проксі для перенаправлення запитів (як і будь-які міждоменні дзвінки).

Ось що я роблю:

Створіть прихований iFrame з даними, які ви хочете опублікувати. Оскільки ви все ще керуєте цим iFrame, те саме походження не застосовується. Потім надішліть форму в цьому iFrame на сторінку ssl. Потім сторінку ssl переспрямовує на сторінку, яка не є ssl, із повідомленнями про стан. У вас є доступ до iFrame.