如何绕过 Firefox 23+ 中的本地主机混合内容限制?

【问题标题】:How can one get around the localhost mixed content restriction in Firefox 23+?如何绕过 Firefox 23+ 中的本地主机混合内容限制?
【发布时间】:2014-11-20 10:25:43
【问题描述】:

这个问题真正解决了对 Localhost 的跨域请求,同时解决了在缺乏对本地网络的控制(设置 DNS 或其他解决方案)的情况下访问本地服务的安全网站的问题。特别是 Safari 和 Chrome 允许混合访问 localhost,而 FF 23+ 则不允许。

我们不想给用户带来不便并强迫他们使用单一浏览器。

  1. 我们可以使用 JSONP 从安全的网页访问在 localhost 上运行的 plain http 服务器吗? (我们最初的实验表明这是可行的)

  2. 其他浏览器制造商会效仿FF,禁止从本地主机访问混合内容吗?

FF 对此功能提出了一年多的请求,但除了大量讨论之外,什么也没发生。见:https://bugzilla.mozilla.org/show_bug.cgi?id=903966

我们的感觉是其他浏览器也会加强安全性。

【问题讨论】:

  • 查看this question,了解有关 JSONP 安全性的一些讨论。就我个人而言,我看不出浏览器怎么可能停止支持它,因为它与向第三方域发出纯脚本请求并没有太大区别,后者将始终受到支持。
  • 为什么要编写替代协议? CORS + 正确的标记语言完全没问题。
  • 感谢您的 cmets 和投反对票。我调整了问题来弥补。

标签: jsonp


【解决方案1】:

  1. 。您不能使用 JSONP 来克服 FF 23+ 上 localhost 的混合内容限制。最初的实验是错误的,FF 始终如一地应用其混合内容规则。 我找到了一个非常好的文档 [1],它基本上概述了以下可能性:

    • 使用完全合格的域名证书和 DNS 域后缀搜索。这会产生成本
    • 使用企业/私有 CA(本地证书颁发机构)为非唯一名称颁发和信任证书
    • 在自签名证书中手动配置信任 - 让用户将您的证书导入浏览器。
    • 使用 IPSec
    • 此外,您可以为 FF 编写插件
  1. 如果您在 Mozilla 上查看此线程,https://bugzilla.mozilla.org/show_bug.cgi?id=844556#c58 与 IE 的 Intranet 模式进行了比较,这给用户和开发人员都带来了问题,因为它是非标准的,并且由于那里讨论的其他原因。我预计大多数制造商都会效仿。

[1] href="https://www.globalsign.com/resources/white-paper-internal-server-names-ip-address-requirements.pdf"

【讨论】:

    猜你喜欢
    • 2018-04-17
    • 1970-01-01
    • 1970-01-01
    • 2023-02-14
    • 2012-11-13
    • 1970-01-01
    • 1970-01-01
    • 2012-02-02
    • 2021-08-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode