我可以使用 https 进行本地开发吗？

Question

我正在尝试对 Google Developer's website 中所述的 Google+ 网络登录服务器端流程稍作改动。

Google 的 gapi 代码给出了以下错误消息：

未捕获的安全错误：阻止来源为“http://my-development-system.dev”的框架访问来源为“https://accounts.google.com”的框架。请求访问的帧具有“http”协议，被访问的帧具有“https”协议。协议必须匹配。

我说我的本地开发系统不能设置为使用 https 协议对吗？

Answer 1

这不仅与不同的协议有关（您网站上的 HTTP 与 accounts.google.com 上的 HTTPS），还因为域不匹配（以及端口不匹配），这是由 @987654321 施加的限制@。

此策略阻止 www.evil.com 在框架集（或如果框架被禁用，则弹出窗口）内加载诸如 www.bank.com 之类的站点，然后访问 DOM。如果可以访问 DOM，这将是一个巨大的安全风险，因为任何网站都可以读取您在另一个网站上的私人数据。

可以通过实施CORS 策略并输出服务器端标头以允许其他指定域读取内容来允许访问，但是在您的情况下这将在 Google 方面。因此，除非https://accounts.google.com 实施CORS 策略，否则您将无法对服务器端流程进行客户端变体。另一个障碍是，即使实现了 CORS，它也不允许访问 DOM。但是，您可以通过 AJAX 调用从另一个域、协议或端口检索内容。目标站点还必须输出 Access-Control-Allow-Credentials: true 标头，以便身份验证凭据（即本例中的 cookie）与请求和您的域读取的响应一起发送。

我可以使用 https 进行本地开发吗？

要回答您最初的问题，答案是肯定的。对于大多数用途，这可以是自签名证书，并且不会影响浏览器中的此特定错误消息（作为您，作为浏览器用户已选择接受并信任该证书）。

Answer 2

我说错了

我的本​​地开发系统无法设置为使用 https 协议

可以！只需使用自我认证 SSL。