Gop*_*iva 0 javascript security https service-worker progressive-web-apps
我正在学习服务工作者 API。我在其中发现了更多很酷的功能。但让我兴奋的是,为什么它只适用于 https 站点而不适用于 http 站点?.
我相信这与安全有关,但我在浏览时找不到原因。因此,任何解释这一点的解释都值得赞赏......
dec*_*eze 5
由于 Service Worker 相当强大,即使原始页面不再打开也能运行,你真的想限制谁可以设置 Service Worker,谁不能。由于一个普通的 HTTP 请求很容易被中间人,任何随机的 Javascript 都可以注入到这样的请求中,这可以设置一个服务工作者。这意味着,您的 ISP、像中国这样的政府或严重的攻击者可以非常轻松地设置服务人员。通过要求 HTTPS 连接,在很大程度上避免了中间人,并且您至少可以确保设置 Service Worker 的 Javascript 实际上来自您认为的页面。
归档时间:
9 年 前
查看次数:
752 次
最近记录: