【发布时间】:2016-11-22 00:11:26
【问题描述】:
我有一个 https 站点,它需要来自仅在 http 中可用的 API 的数据。
为了绕过混合内容警告,我对其进行了更改,以便 JS 请求服务器上的路径,然后发出 http 请求并返回数据。
这很糟糕吗?如果不好,为什么?
【问题讨论】:
标签: https
【发布时间】:2016-11-22 00:11:26
【问题描述】:
我对你在做什么的理解:
你在你的服务器上提供一个 HTTPS url,它本质上是一个代理,通过 HTTP 在你的服务器和 API 提供者之间建立后端连接。
如果我对您所做的事情的理解是正确的,那么您所做的比仅仅通过 HTTP 提供所有内容要好...
您正在提供客户端和服务器之间的安全性。大多数利用普通 HTTP 连接的安全威胁都在客户端的本地环境中 - 例如在共享的本地网络上。咖啡馆里的狡猾 wifi。学校局域网。等等
您的服务器和 API 提供商之间的连接是未加密的,但显然他们只提供未加密的连接。除非您的 API 提供商开始提供 HTTPS 接口,否则这确实是您能做的最好的事情。
这比什么都不做更安全,应该可以消除浏览器错误。
但是,如果确实需要安全性(PCI 合规性、HIPAA 等),您应该停止使用该 API。但是,考虑到您问题中的间接证据,这似乎不太可能。
【讨论】:
-
酷。感谢您的信息。