我的应用程序在 HTTPS 下运行,并使用来自已知机构之一的有效证书。不幸的是,我使用的是不支持 HTTPS 的第三方 API。
结果是已知消息 Mixed content: mydomain.com requested an 不安全的 XMLHttpRequest 端点。
是否可以向网络服务器添加异常以允许不安全地调用此 API!我正在使用 Nginx 顺便说一句。
如果不是什么可以解决这个问题的其他可能性。
我有一个解决方案,但我不喜欢它,因为它会成为性能缺陷:
实现一个API作为代理,通过HTTPS接收来自应用程序的请求,并使对第三方API的请求抛出HTTP。
【问题讨论】:
标签: rest nginx webserver endpoint content-security-policy
我也有这个问题。如果您使用 https 并且不希望出现警告/错误,则页面上的所有内容都应该请求 https。如果您使用的是 nginx,则不需要实现 api 来代理。正如您正确推测的那样,无论您实施什么,都会对性能造成影响。只需在 nginx 中使用代理通行证。 在我们的配置中,我们有:
location /thirdparty/ {
proxy pass http://thirdpartyserver/;
}
请注意代理通行证中的斜杠,我将所有 http 的第三方 api 保留在 https://myserver/thirdparty/requesturl 中。尾部斜杠在发出请求时删除第三方。所以就变成了http://thirdpartyserver/request
官方参考:http://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_pass
【讨论】:
为了允许混合内容,个人用户必须在他们的浏览器中允许它。允许来自一个来源的 HTTP 内容足以危及 HTTPS 的安全性,因此浏览器默认禁止混合内容。我看到的解决方案是:
Google 在第 1 步中为开发者提供了一些建议(但它们基本上与上文有所呼应):https://developers.google.com/web/fundamentals/security/prevent-mixed-content/fixing-mixed-content#step-1
【讨论】: