HTTP 站点通过 HTTPS 提供 JSONP API？

Question

鉴于 FireSheep 获得的所有报道，我一直在尝试找出平衡我管理的某些网站（例如博客网站、带有用户贡献评论的杂志网站）的 HTTP / HTTPS 使用情况的最佳实践。

对我来说，如果用户登录，通过 HTTPS 传送所有页面就太过分了。如果页面是公共的（例如博客），那么加密公共页面就没有什么意义了。我想做的就是通过 HTTP 通道嗅探 cookie 来防止会话劫持。

因此，一种计划是：

• 登录表单通过 HTTPS
• 发出两个 cookie： 一个 cookie 是“公共”的，并标识该用户的只读方面（例如“欢迎鲍勃！”）。第二个 cookie 是私有的并且“仅限 HTTPS”。这是每当用户进行更改（例如添加评论、删除帖子）时都会验证的 cookie。

这意味着所有“更改”请求都必须通过 HTTPS 发出。

我们大量使用 AJAX。事实上，许多评论表单都使用 AJAX 来发布内容。

显然，我无法直接使用 AJAX 将内容从 HTTP 前端发布到 HTTPS 后端。

我的问题是：我可以使用脚本注入（我认为这通常称为“JSONP”？）来访问 API 吗？因此，在这种情况下，将有一个 HTTP 公共页面，通过注入通过 HTTPS 访问的脚本将数据发送到私有后端（以便私有 cookie 在请求中可见）。

HTTP 页面中可以包含 HTTPS 内容吗？我知道您会收到相反的警告，但我认为 HTTP 内的 HTTPS 并不是安全漏洞。

那行得通吗？它似乎可以在 chrome 和 FF 中工作，但 IE 会是最糟糕的！

Answer 1

另一种方法是使用一个指向 https 页面的 iframe，该页面可以通过 https（与 https 上的 iframe 相同的域）对服务器进行各种类型（GET、POST、PUT 等）Ajax 调用。一旦响应返回到 iframe 内，您就可以使用 HTML5 postMessage API 将消息发布回主窗口。

Pseudo code:
    <iframe src="https://<hostname>/sslProxy">
    sslProxy:
        MakeAjaxyCall('GET', 'https://<hostname>/endpoint', function (response) {
            top.postMessage(response, domain);
        });

这适用于除 IE <= 7 之外的所有现代浏览器，您必须诉诸 JSONP 或使用 Flash 进行跨域通信。

Answer 2

JSONP 的问题在于您只能将其用于 GET。

您可以在 a 中包含 HTTPS 内容吗？
HTTP 页面？我知道你会收到警告
反过来说，但我认为
HTTP 内部的 HTTPS 并不是一种安全措施
违反。违反。

在常规 HTTP 页面中包含 HTTPS 内容不会在任何浏览器中引发任何警报。
但是，我认为 JSONP 不会帮助您解决这个问题。使用 GET 来发布内容和修改数据是一个非常糟糕的主意，并且容易受到其他攻击，例如 CSFR