在 http 页面上使用 https 的 Ajax

Question

我的网站使用http和https协议； 它不影响内容。 我的网站使用 jQuery ajax 调用，它也填充了页面上的某些区域。

现在，我想通过 https 进行所有 ajax 调用。 （请不要问我为什么:)） 当我在使用 https 协议的页面上时，ajax 请求正在工作。 当我在使用 http 协议的页面上时，出现 javascript 错误： 访问受限制的 URI 被拒绝

我知道这是一个跨域问题（事实上，这是一个跨协议问题），并且我知道我应该在 ajax 调用中使用与当前页面相同的协议。

尽管如此，我还是希望所有 ajax 调用都是 https，并在通过 http 提供服务的页面上调用它们。 是否有任何解决方法可以实现此目的（某些 json/代理解决方案？），或者根本不可能？

Answer 1

从服务器添加 Access-Control-Allow-Origin 标头

Access-Control-Allow-Origin: https://www.mysite.com

http://en.wikipedia.org/维基/Cross-Origin_Resource_Sharing

Answer 2

尝试 JSONP。

大多数 JS 库使其与其他 AJAX 调用一样简单，但在内部使用 iframe 来执行查询。

如果您不使用 JSON 作为负载，那么您必须在 iframe 周围滚动您自己的机制。

就我个人而言，我只是从 http:// 页面重定向到 https:// 页面

Answer 3

http://example.com/ 可能会解析为与 https://example.com/ （由于未发送主机标头，因此响应该 IP 的默认值），因此两者被视为单独的域，因此受到跨域 JS 限制。

JSON 回调 可以让您避免这种情况。

Answer 4

查看开源 Forge 项目。 它提供了 JavaScript TLS 实现，以及一些 Flash 来处理实际的跨域请求：

http://github.com/digitalbazaar/forge/blob/master/README

简而言之，Forge 将使您能够从通过 http 加载的网页到 https 站点发出 XmlHttpRequest。 您需要通过服务器提供 Flash 跨域策略文件才能启用跨域请求。 查看自述文件末尾的博客文章，以获得有关其工作原理的更深入的解释。

不过，我应该提到 Forge 更适合两个不同 https 域之间的请求。 原因是存在潜在的 MiTM 攻击。 如果您从非安全站点加载 JavaScript 和 Flash，则可能会受到损害。 最安全的使用是从安全站点加载它，然后使用它访问其他站点（安全或其他）。

Answer 5

您可以尝试在 iframe 中加载 https 页面，并通过某个桥将所有 ajax 请求路由进/出框架，这是一种 hackaround，但它可能会起作用（不确定它是否会在给定安全上下文的情况下施加相同的访问限制） 。 否则，用于重新路由请求（如任何跨域调用）的本地 http 代理将是可接受的解决方案。

Answer 6

这就是我所做的：

使用您想要发布的数据生成一个隐藏的 iFrame。 由于您仍然控制该 iFrame，因此同源不适用。 然后将该 iFrame 中的表单提交到 ssl 页面。 然后，ssl 页面会重定向到带有状态消息的非 ssl 页面。 您可以访问 iFrame。