HTTPS-zu-HTTP JSONP-Anfrage

Habe ich Probleme, senden von JSONP-Anforderungen von HTTPS Website HTTP Website.

Ich habe einen (nicht lokalen) Testumgebung, die über https (mit gültigen Zertifikat), wo ich in der Lage bin, alle diese cross-site - /"cross-Protokoll" Anfragen erfolgreich (mit Warnungen aber ohne Fehler).

Google Chrome Javascript-Konsole ausgegeben:

The page at https://my.test.environment/ran insecure content from http://non.secure.site/service?jsonCallback=jsonp1331132928704

Jedoch, in der Produktion, (über Google App Engine, appspot subdomain) Google Chrome blockiert alle Anfragen wartet auf Bestätigung durch den Anwender.

Google Chrome Javascript-Konsole ausgegeben (Besondere Aufmerksamkeit zu [gesperrt] text):

[blocked] The page at https://production.appspot.com/ran insecure content from http://non.secure.site/service?jsonCallback=jsonp1331132928704

Ich weiß, was ich Tue, ist nicht sicher, aber diese Dienstleistungen werden von der Dritten Partei und es gibt keine SSL-Verbindung zur Verfügung, so weit. Ich bin wirklich verwirrt, weil ich nicht bekommen, warum ist die Arbeit (mit Warnungen) in der test-Umgebung und nicht unter appspot (Google App Engine).

Habe ich versucht, zu untersuchen, Header, aber ohne Erfolg.

Testumgebung Header:

Connection:Keep-Alive
Content-Encoding:gzip
Content-Language:es
Content-Length:2524
Content-Type:text/html;charset=utf-8
Date:Wed, 07 Mar 2012 15:48:30 GMT
Keep-Alive:timeout=15, max=100
Set-Cookie: cookie_info...
Vary:Accept-Encoding

APPSpot Header:

access-control-allow-credentials:false
access-control-allow-origin:*
cache-control:no-cache, must-revalidate
content-encoding:gzip
content-length:47890
content-type:text/html; charset=utf-8
date:Wed, 07 Mar 2012 14:52:02 GMT
expires:Fri, 01 Jan 1990 00:00:00 GMT
pragma:no-cache
server:Google Frontend
set-cookie: coookie_info....
status:200 OK
vary:Accept-Encoding
version:HTTP/1.1

Ich habe keine Ahnung, warum das funktioniert im test envinroment und der gleiche Ansatz ist blockiert APPSpot von Google Chrome.

Irgendwelche Gedanken?

  • Chrome behandelt Google HTTPS-Seiten oft anders als die standard-HTTPS-Seiten (z.B. spezielle Zertifikats-Prüfungen). Möglicherweise ist dies auch der Fall für unsichere Inhalte?
  • Mayte Sie aré Recht. In der Tat, das problem tritt nur auf, wenn wir der Bereitstellung der app auf GAE (appspot verwendet Google ' s Zertifikat). Ich werde digg hinein. Danke!
  • Ich habe das gleiche Problem auf meinem eigenen server und (gültige) Zertifikat...
  • tja, die Antwort hier: stackoverflow.com/questions/12216208/...
  • Es gibt eine immportant Sache muss ich hinweisen - Sie schrieb, dass Sie tun, JSONP-Aufruf an eine Dritte Partei, und Sie bieten keine Sicherheit. Dude... JSONP ist nur ein name für die Ausführung von javascript aus der Dritten und in der Hoffnung, es ruft die Funktion mit einigen Daten. Wenn es keine https-in, der call jeder kann tun und MITM laufen einige code, der fängt alle Daten, die Sie zu schützen versuchte mit https.
  • Yep, es ist zwar interessant zu verstehen, warum Sie schlagen dieses problem, Sie sollten sich auch Fragen, wie können Sie sicher Holen Sie sich die Daten, die Sie brauchen. In diesem Fall, würde ich dies tun, durch die Einrichtung eines proxy über Ihre App Engine-Instanz, d.h. eine Ansicht, die nicht urlfetch() aus a (normal) - JSON-API von der remote-service und gibt die Antwort an den client. Das Schlimmste, was ein MITM-Angriff kann dann beschädigt ist die Daten.

InformationsquelleAutor Samuel García | 2012-03-07
  1. 1

    Einen apache-proxy wird eine Anfrage an den Endpunkt, auf Ihre Namen. Sie können sogar nicht-jsonp-Anforderungen an einen Dienst (json, xml, Bilder, post, put, delete, etc), weil der browser denkt, es macht die Anfrage zu derselben domain.

    Ihre nicht.sicher.Website vhost-Datei enthalten würde, so etwas wie

    ProxyRequests Off
ProxyPreserveHost On 
<Proxy *>
    Allow from all
</Proxy>
ProxyPass /appspot https://production.appspot.com/
ProxyPassReverse /appspot https://production.appspot.com/

    Sobald Sie es einrichten, rufen Sie einfach den service wie...

    http://non.secure.site/appspot/service?jsonCallback=jsonp1331132928704

    Google proxypass für mehr info

    https://serverfault.com/questions/429404/help-me-understand-how-to-use-proxypass

    InformationsquelleAutor Shanimal
  2. 0

    Wenn Sie keine andere Wahl haben, aber mit, dass nicht gesichert 3rd-party-API kann man darüber nachdenken, MITM, dass die API selbst.

    Erstellen Sie ein server-seitiges script, dass der Zugriff nur über SSL und agiert als ein proxy-Server oder eine Weiterleitung zwischen den Tags und der API. Auf diese Weise können Sie die Sicherheit erhöhen, indem Sie Ihre eigenen Kontrollen und überprüfungen auf die Daten, und weil Sie servieren es unter SSL-Sie erhalten keine "Mixed-Content" - Fehler.

    BTW, ich habe es noch nicht getestet, es gibt immer die chance, dass Websites, unter Google-Zertifikat serviert von GAE wird anders handeln.

    Hoffe ich konnte helfen.

    InformationsquelleAutor Uri May
  3. 0

    Ich habe das gleiche Problem für die gleichen Sachen tun, die zwischen http und https. Es ist ein cross-domain-Problem.

    Das wichtigste, was Sie brauchen, ist die server-Seite, die Sie für tun curl, um einige Header für die http-zu https-Verbindung. Dieses sind unter....

    header("Access-Control-Allow-Origin: your https url");
header("Access-Control-Allow-Methods: POST, GET");
header("Access-Control-Max-Age: 1728000");

header("Access-Control-Allow-Headers: Content-Type, Connection, Depth, User-Agent, X-File-Size, X-Requested-With, If-Modified-Since, X-File-Name, Cache-Control");
header("Connection: close");
    InformationsquelleAutor THE ONLY ONE
Schreibe einen Kommentar