我有一个小型 Web 应用程序需要调用本地网络上的设备。它使用获取设备的本地 IP 地址(例如http://192.168.1.25:8060)来执行此操作。设备不通过 HTTPS 提供其流量,也不能。该网络应用程序面向公众,我想添加一个服务工作者以提供离线支持。
Service Worker 需要 HTTPS,从 HTTPS 源到非 HTTPS 源的调用存在安全风险,因此现代浏览器不允许这样做。如果不使用本地代理(这会破坏目的),有没有办法绕过这个“限制”?
【问题讨论】:
标签: javascript https service-worker
How can I allow Mixed contents (http with https) using content-security-policy meta tag? 可能重复。浏览器不允许这样做,因为它破坏了用户信任模型。
本地 HTTPS 代理是理想的选择。配置一个公共 DNS 条目,如 internal.example.com,具有低 TTL(如果您的内部 IP 经常更改)以指向您的内部 IP。为该子域创建一个受信任的 SSL 证书,然后使用该 SSL 证书运行您的本地 HTTPS 代理。如果您的内部服务器位于防火墙后面,请先将internal.example.com 指向公共 Web 服务器,在该公共服务器上创建证书,然后复制证书并将 DNS 更改为您的本地服务器。或者使用通配符证书*.example.com 来完全避免“临时公开”的麻烦。
【讨论】:
http://127.0.0.1,因为它被认为是受信任的来源。如果您的目标是向同一台机器上的服务器发出请求,这可能会有所帮助。