Vil*_*lx- 5 security encryption websocket secure-context
TL;DR:网站通过 HTTPS 提供服务,需要通过未加密的通道 (ws:// url) 访问 WebSockets 服务器。浏览器不喜欢这样。
加密 Websocket 是可能的,但不方便 - 没有可以签署证书的可信机构,因此需要为每个客户端手动安装它。我想把它作为最后的手段。
该网站必须通过 HTTPS 提供服务,并且不能降级为 HTTP。
有没有其他方法可以绕过这个限制?我尝试了内容安全策略,但它不起作用。
维克斯,
您描述的场景是在设置针对打开非安全 Websocket 连接的限制时被视为安全问题的场景之一。
访问安全网站 (HTTPS) 的用户假定所有数据都是安全的。浏览器将不允许在此上下文中进行非安全通信(除非存在安全故障)。这应该包括资产请求和安全上下文中调用的任何其他请求(随着限制的收紧,预计“混合内容”消息将慢慢淡出历史)。
在某些浏览器上情况甚至更糟。例如,Safari 将拒绝打开与未签名服务器的安全 Websocket 连接,即使网页是在临时批准证书的情况下加载的。
有没有其他方法可以绕过这个限制?
我很遗憾地报告您的问题,简短的回答是“不”。
| 归档时间: |
|
| 查看次数: |
4626 次 |
| 最近记录: |