Ajax с использованием https на странице http

Question

Мой сайт использует протокол http и https; это не влияет на контент. Мой сайт использует jQuery ajax calls, который заполняет некоторые области на странице.

Теперь я хотел бы сделать все ajax-вызовы по https. (пожалуйста, не спрашивайте меня, почему :)) Когда я нахожусь на странице с протоколом https, запросы ajax работают. Когда я на странице с протоколом HTTP, я получаю яваскрипт ошибки: Доступа к ограниченной URI отказано

Я знаю, что это проблема кросса домена (на самом деле, это проблема кросса протокола), и я знаю, что я должен использовать тот же протокол в вызовах ajax, что и на текущей странице.

Тем не менее, я хочу, чтобы все вызовы ajax были https и вызывали их на странице, которая была передана через http. Есть ли какое-либо обходное решение для достижения этого (какое-то решение json/proxy?), Или это просто невозможно?

Answer 1

Вы можете попытаться загрузить страницу https в iframe и маршрутизировать все запросы ajax в/из фрейма через какой-либо мост, это хаккаунд, но он может работать (не уверен, что он наложит те же ограничения доступа безопасный контекст). В противном случае местным HTTP-прокси-сервером для перенаправления запросов (например, любых перекрестных доменных вызовов) будет принятое решение.

Answer 2

http://example.com/ может разрешить другой виртуальный хост, чем https://example.com/ (который, поскольку заголовок хоста не отправляется, отвечает на значение по умолчанию для этого IP-адреса), поэтому они рассматриваются как отдельные домены и, таким образом, подвержены ограничениям JS Crossdomain.

JSON callbacks может позволить вам избежать этого.

Answer 3

Попробуйте JSONP.

Большинство JS-библиотек делают это так же просто, как и другие вызовы AJAX, но внутренне используют iframe для выполнения запроса.

Если вы не используете JSON для своей полезной нагрузки, вам придется свернуть собственный механизм вокруг iframe.

лично, я бы просто перенаправить сформировать HTTP: // Страница с https: // один

Answer 4

Заканчивать проект с открытым исходным кодом Forge. Он обеспечивает выполнение JavaScript TLS, наряду с некоторыми флэш для обработки фактических кросс-доменных запросов:

http://github.com/digitalbazaar/forge/blob/master/README

Короче говоря, Forge позволит вам сделать XMLHttpRequests с веб-страницы, загруженной через HTTP с сайта HTTPS , Для включения междоменных запросов вам необходимо предоставить файл политики междоменной политики Flash через ваш сервер. Просмотрите сообщения в блоге в конце README, чтобы получить более подробное объяснение того, как это работает.

Однако я должен упомянуть, что Forge лучше подходит для запросов между двумя разными https-доменами. Причина в том, что существует потенциальная атака MiTM. Если вы загружаете JavaScript и Flash с незащищенного сайта, это может быть скомпрометировано. Наиболее безопасное использование - загрузить его с защищенного сайта, а затем использовать его для доступа к другим сайтам (безопасным или иным образом).

Answer 5

Добавить заголовок-Allow-Origin Access-Control с сервера

Access-Control-Allow-Origin: https://www.mysite.com 

http://en.wikipedia.org/wiki/Cross-Origin_Resource_Sharing

Answer 6

Вот что я делаю:

Сформировать скрытый IFrame с данными, вы хотели бы опубликовать , Поскольку вы все еще контролируете iFrame, то такое же происхождение не применяется. Затем отправьте форму в iFrame на страницу ssl. Затем ssl-страница перенаправляется на страницу, отличную от ssl, с сообщениями о состоянии. У вас есть доступ к iFrame.