Ajax sử dụng https trên trang http

Trang web của tôi sử dụng giao thức http và https; nó không ảnh hưởng đến nội dung. Trang web của tôi sử dụng lệnh gọi jQuery ajax, điều này cũng lấp đầy một số vùng trên trang.

Bây giờ, tôi muốn thực hiện tất cả các lệnh gọi ajax qua https. (làm ơn đừng hỏi tôi tại sao :)) Khi tôi truy cập một trang có giao thức https, các yêu cầu ajax đang hoạt động. Khi tôi truy cập trang có giao thức http, tôi gặp lỗi javascript: Quyền truy cập vào URI bị hạn chế bị từ chối

Tôi biết rằng đây là một vấn đề tên miền chéo (trên thực tế, đó là một vấn đề giao thức chéo) và tôi biết rằng tôi nên sử dụng cùng một giao thức trong các lệnh gọi ajax như trên trang hiện tại.

Tuy nhiên, tôi muốn tất cả các lệnh gọi ajax phải là https và gọi chúng trên một trang được phân phát qua http. Có cách giải quyết nào để đạt được điều này không (một số giải pháp json / proxy?), Hay đơn giản là không thể?

Thêm tiêu đề Access-Control-Allow-Origin từ máy chủ

Access-Control-Allow-Origin: https://www.mysite.com

http://en.wikipedia.org/wiki/Cross-Origin_Resource_Sharing

Hãy thử JSONP.

hầu hết các thư viện JS đều làm cho nó dễ dàng như các lệnh gọi AJAX khác, nhưng sử dụng nội bộ một iframe để thực hiện truy vấn.

nếu bạn không sử dụng JSON cho tải trọng của mình, thì bạn sẽ phải cuộn cơ chế của riêng mình xung quanh iframe.

cá nhân tôi chỉ chuyển hướng từ trang http: // đến https: // một

http://example.com/ có thể giải quyết một VirtualHost khác với https://example.com/ (vì tiêu đề Máy chủ lưu trữ không được gửi, phản hồi theo mặc định cho IP đó), do đó, cả hai được coi là riêng biệt miền và do đó phải tuân theo các hạn chế JS miền chéo.

Các lệnh gọi lại JSON có thể cho phép bạn tránh điều này.

Kiểm tra dự án mã nguồn mở Forge. Nó cung cấp triển khai TLS JavaScript, cùng với một số Flash để xử lý các yêu cầu tên miền chéo thực tế:

http://github.com/digitalbazaar/forge/blob/master/README

Nói tóm lại, Forge sẽ cho phép bạn tạo XmlHttpRequests từ một trang web được tải qua http đến trang https. Bạn sẽ cần cung cấp tệp chính sách tên miền chéo Flash qua máy chủ của mình để kích hoạt các yêu cầu tên miền chéo. Hãy xem các bài đăng trên blog ở cuối README để được giải thích sâu hơn về cách hoạt động của nó.

Tuy nhiên, tôi nên đề cập rằng Forge phù hợp hơn với các yêu cầu giữa hai miền https khác nhau. Lý do là có một cuộc tấn công MiTM tiềm ẩn. Nếu bạn tải JavaScript và Flash từ một trang web không an toàn, nó có thể bị xâm phạm. Cách sử dụng an toàn nhất là tải nó từ một trang web an toàn và sau đó sử dụng nó để truy cập các trang web khác (an toàn hoặc cách khác).

Bạn có thể cố gắng tải trang https trong iframe và định tuyến tất cả các yêu cầu ajax vào / ra khung qua một số cầu nối, đó là một cách hack nhưng nó có thể hoạt động (không chắc liệu nó có áp đặt các hạn chế truy cập tương tự với bối cảnh an toàn hay không) . Nếu không, một proxy http cục bộ để định tuyến lại các yêu cầu (như bất kỳ cuộc gọi tên miền chéo nào) sẽ là giải pháp được chấp nhận.

Đây là những gì tôi làm:

Tạo iFrame ẩn với dữ liệu bạn muốn đăng. Vì bạn vẫn kiểm soát iFrame đó, nên không áp dụng cùng một nguồn gốc. Sau đó, gửi biểu mẫu trong iFrame đó đến trang ssl. Sau đó, trang ssl chuyển hướng đến một trang không phải ssl với các thông báo trạng thái. Bạn có quyền truy cập vào iFrame.