CORS mit IE11+ Zugriff Verweigert mit SSL-localhost

Die Sehr Kurze Version: ist jemand erfolgreich anfordernden lokalen Ressourcen via AJAX im IE über SSL? Ich kann mich nicht lösen immer eine "Zugriff verweigert" - Fehler.

Die Längere Version:

Ich bin mit AJAX zum abrufen von JSON aus einer Anwendung, die eine lokale web-service. Der web-service-Kanal ist verschlüsselt, so dass, wenn der remote-Ort bedient werden, die über HTTPS, keine "unsichere Ressource auf einer sicheren Seite" - Fehler angezeigt.

So, in der Adresszeile ist eine remote-site eine Art... mysite.com. Es empfängt Informationen von https://localhost/.

Dem web-Dienst Einstellung, die richtigen Header für CORS und alles funktioniert in Chrome und Firefox. Im IE, wenn ich meine https://localhost Ressource in der Adressleiste die korrekte Ressource zurückgegeben und angezeigt. Jedoch, bei der Verwendung von AJAX (nicht nur der Adressleiste), eine Sicherheitseinstellung im IE ist es möglich, den Zugriff verweigern. Dokumentiert ist diese (zum Teil) hier:

Zugriff verweigert im IE 10 und 11, wenn ajax Ziel ist localhost

Die einzig richtige Lösung in einer Antwort, die anfragende domain (mysite.com in diesem Fall) zu den vertrauenswürdigen sites. Es funktioniert, aber wir würden lieber nicht haben eingreifen des Benutzers... verweist auf einen knowledge base-Artikel beschreibt, wie Sie eine Vertrauenswürdige site ist, kaum eine großartige user experience. Die anderen Antworten auf diese Frage sind ungültig aus den gleichen Gründen wie unter-->

Einige mehr stolpern herum und ich entdeckte dies:

CORS mit IE, XMLHttpRequest und ssl (https)

Hatte eine Antwort mit einer wrapper für AJAX-Anfragen im IE. Es schien vielversprechend, aber es stellt sich heraus, IE11 hat jetzt veraltet das XDomainRequest-API. Dies war wohl das richtige sein für Microsoft zu tun... aber jetzt ist der "hack" Problemumgehung zum hinzufügen eines void onProgress-handler, um das XDR-Objekt ist natürlich keine option, und die einst vielversprechende Abhilfe wrapper gerendert wird, ist null und nichtig.

Hat jemand stoßen entweder:

a) ein Weg, um diese Wünsche durch, ohne dass zum ändern der vertrauenswürdigen sites im IE? In anderen Worten, eine aktualisierte version der workaround im zweiten link?

b) als "nächsten besten" Fall: ein Weg, um den Benutzer aufzufordern, fügen Sie die Website zu Ihren vertrauenswürdigen zone? "mysite.com Wünsche werden Hinzugefügt, um Ihre vertrauenswürdigen Zonen. Bestätigen ja/Nein" und haben es getan, ohne Sie tatsächlich benötigen, zu öffnen, Ihre Muttersprache Einstellungen Dialoge und es manuell zu tun?

InformationsquelleAutor Greg Pettit | 2014-04-21
  1. 7

    Aus Gründen der Sicherheit, Internet Explorer XDomainRequest-Objekt blockiert den Zugriff (siehe #6 hier) auf der Intranet-Zone aus der Zone Internet. Ich würde nicht überrascht sein zu erfahren, dass dieser block wurde geportet in dem IE10+ CORS-Implementierung des XMLHTTPRequest-Objekts.

    Ein Ansatz, der kann helfen, ist zu ändern Sie einfach aus localhost zu 127.0.0.1 als letztere behandelt, als Internet Zone eher als Intranet Zone und als Folge der zone-Kreuzung vermieden wird.

    Allerdings sollten Sie sich bewusst sein, dass Internet Explorer 10+ blockiert alle Zugriffe auf den lokalen computer (über eine beliebige Adresse), wenn eine Website läuft im Erweiterten Geschützten Modus (EPM)-- siehe "Loopback blockiert" in dieser Beitrag. Derzeit, DH verwendet EPM nur für Internet-sites, wenn Sie ausführen, in der U-Bahn/Immersive browsing-Modus (nicht Desktop), aber dies könnte sich in Zukunft ändern.

    Nein, es gibt keinen Mechanismus, um zu zeigen, die Zonen-Konfiguration-UI JavaScript oder automatisch verschieben einer Website von einer zone zur anderen. Die Tatsache jedoch, dass Sie einen lokalen server bedeutet, dass Sie das ausführen von code auf dem client bereits, das heißt, Sie könnten verwenden Sie die entsprechende API um die Zone zu aktualisieren Mapping auf dem client. Beachten Sie, dass eine solche Veränderung erfordert, dass man DEUTLICH erhalten Benutzer zuerst um Erlaubnis, damit Sie sich an Ihren Installateur behandelt werden als malware von Windows-Defender und andere security-Produkte.

    So, in Zusammenfassung, unter Verwendung der IP-Adresse dienen als Problemumgehung für viele, aber nicht alle Plattformen.

    • Danke für die ausführliche Antwort, Eric. Ich werde weitergeben, dass "verwenden Sie die entsprechende API" - link, um die desktop-Anwendung Entwickler; mein Erster Gedanke ist, dass dies genau das, was wir tun wollen. Es gibt keine Vorschrift, dass wir es auch tun, mit JavaScript oder dem browser selbst, obwohl ich vielleicht versehentlich angedeutet, dass.
    • Das heißt, auch als ich navigiert Weg von dieser Antwort, habe ich gemerkt... die desktop-Anwendung nicht wissen, welche Domäne Hinzugefügt werden muss. 🙁 Ich sehe immer noch zwei "irgendwie besser, als nichts" - Optionen-mithilfe der entsprechenden API zu ermöglichen, die Anwendung der eigenen Dialogfeld (das wird einfacher sein als die Anweisungen zum navigieren in Internet Explorer-Einstellungen) oder die Schaffung der Möglichkeit zur Versorgung einer domain, um den installer von der download-Zeit (über ein script oder sogar ein flat-file von irgendeiner Art).
    • +1 für die Beschreibung Internet Zone vs Intranet Zone. Das ist mein problem gelöst, vielen Dank!
    • Internet vs. Intranet war mein problem. Ebenso ein heads-up, es wirkt IE bis version 11 (aktuellste verfügbare version).
    • +1. Bestätigt im IE11 den AJAX-request funktioniert, wenn mit 127.0.0.1 anstelle von localhost. Scheint ein "trick", es zu denken, es ist immer noch in der internet-zone
    • Vielen Dank für die post! Es ist durchaus der Aufklärung. Jedoch, es ist nicht einverstanden mit der MSDN-blog-Beitrag (circa 2012), wie localhost und 127.0.0.1 zugeordnet sind, die in Sicherheitszonen. Welches ist das richtige? Danke!
    • Ich fürchte, ich verstehe nicht, was "Meinungsverschiedenheiten" sehen Sie? "localhost" ist der Intranetzone "127.0.0.1" Internet-Zone.
    • Habe ich wohl falsch gelesen es. Sorry!
    • Habe versucht alle möglichen Dinge, bis ich stolperte über dieses Artikels. Ich lief die Seite unter IIS Express und die änderung der server zum binden an 127.0.0.1 und dann mit der IP anstatt localhost das Problem gelöst. IE11 und Firefox, beide sind jetzt senden des Authentifizierungs-cookie. Dank

    InformationsquelleAutor EricLaw
  2. 0

    Da sind zwei verschiedene Domänen, eine Lösung wäre, eine Anwendung zu erstellen, die proxies, die Anfragen in die Richtung, die Sie wollen.

    Wenn Sie haben die Kontrolle über die example.com Ende, und wollen Unterstützung von Benutzern, die bringen Ihre eigenen localhost-service, das würde härter werden, als würden Sie um weitere Anforderungen für das, was Sie bringen.

    Wenn jedoch, haben Sie die Kontrolle über das, was läuft in "localhost" und zugreifen möchten example.com und haben Sie Zugriff auf die localhost-service, set-up, Umleitung in Ihrem web-server-Einstellungen oder verwenden Sie einen reverse-proxy. Fügen Sie einen Endpunkt auf der gleichen localhost app, die nicht überlappen, Pfade, zum Beispiel, route http://localhost/proxy/%1 zu http://%1 wird, während der rest von localhost allein. Oder führen Sie einen proxy auf z.B. http://localhost:8080 führt, die eine ähnliche Umleitung und bedienen können example.com von einem Pfad, und die API von einem anderen.

    Dieser landet als eine Art von "Leim" oder die integration von code, der erlauben sollte, Sie zu verspotten Wechselwirkungen bis zu einem gewissen Punkt.

    • Also wenn ich verstehen richtig, die proxy-Anwendung in diesem Modell liefert nicht nur die Daten (wie es bereits funktioniert) sondern auch die web-Inhalte. Ist das die Quintessenz? Dann, um die Adresse-Leiste transparent angezeigt werden, auf "example.com" (statt "localhost"), dann tun Sie das mit der Umleitung einrichten, die auf den web-server? Es ist gut zu denken, und ich glaube, es ist bereits auf der roadmap. Für die erste Version wir sind nicht in der Steuerung des server-seitigen web über die Bereitstellung der benötigten UI-Komponenten.
    • Das ist richtig. Sie können nur kontrollieren, was Sie Steuern können. Ich weiß nicht, was das setup funktioniert am besten für Sie, aber wenn Sie muss, muss embed-links zu localhost/api/ajaxFunction innerhalb einer Seite auf example.com dann können Sie host ein proxy auf localhost, so dass zum Beispiel localhost/w/Beispiel.com lädt example.com und localhost/api/ajaxFunction lädt das Skript. Dann die example.com Seite Proxy über localhost wird nicht die CORS-problem.
    InformationsquelleAutor maxwellb
Schreibe einen Kommentar