Croix de domaine demande de HTTP à HTTPS abandonne immédiatement

J'essaie de faire de la Cross-Domain webservice appels à partir d'une page HTTP à HTTPS service.

J'ai mis en place la bonne de la SCRO en-têtes sur le serveur (il fonctionne avec HTTP-HTTP et HTTPS HTTPS).

Il ne travail si je change les demandes de JSONp.

Ce que je vois dans Chrome et Firefox est la demande HTTPS est jamais envoyé, il est immédiatement abandonnée, et le serveur ne voit jamais la demande.

Il est intéressant de noter que le contrôle en amont OPTIONS demande est abandonnée (et il n'atteint pas le serveur).

Je ne peux pas trouver une source qui explique que ce n'est en effet pas possible (HTTP, HTTPS) et mieux encore: explique pourquoi. Je peux comprendre HTTPS vers HTTP est dangereuse, mais le othe chemin à droite? Il semble idiot de moi parce que JSONp fonctionne (mais c'est salissant).

notes

J'ai aussi withCredentials ensemble de true et je suis l'envoi de certains en-têtes personnalisés et une coutume Content-Type: application/json

Je suis à l'aide de l'ordinaire XMLHTTPRequest avec des issues de JSONp pour IE<=9

  • Avez-vous un site où je peux étudier ?
  • Non, je ne le fais pas, je suis en cours d'exécution sur un développement local serveur.
InformationsquelleAutor Halcyon | 2012-07-27
  1. 11

    Ok, j'ai tout compris. Le certificat que j'utilise pour le HTTPS domaine est auto-signé et non vérifiées. Ajouter à la liste des tiers de confiance des autorités fixe pour moi.

    Vous pouvez installer le certificat dans Windows 7 par IE. Cela a fonctionné pour moi:
    http://productforums.google.com/forum/#!topic/chrome/bds-Ao9LigA%5B1-25%5D
    post par zacharysyoung 2/11/09
    Assurez-vous d'exécuter IE(9) en tant qu'administrateur ou l'installation échouera même si il dit qu'il est installé correctement.

    1. Ouvrez Internet Explorer (IE) et naviguez vers le site hébergeant le certificat auto-signé.
    2. IE devrait afficher une page d'avertissement que, 'Il y a un problème avec ce site web de certificat de sécurité.'
    3. Cliquez sur la, "Poursuivre sur ce site web (non recommandé)" lien.
    4. Une fois la page chargée, regardez à droite de la barre d'adresse. Un rouge/rose bouton, intitulée "Erreur de Certificat," doit être visible. Cliquez sur
      ce bouton.
    5. Un pop-up, intitulé "Certificat non approuvé," apparaîtra. Cliquez sur "Afficher les certificats" lien au bas de la fenêtre pop-up.
    6. Un autre pop-up, intitulé "Certificat" apparaîtra. Cliquez sur "Installer le Certificat..." bouton.
    7. La "Assistant Importation de Certificat" sera lancé. Cliquez sur le bouton "Suivant".
    8. ** Pour XP: un. Laissez " sélectionner Automatiquement le certificat...' option est sélectionnée, puis cliquez sur le bouton "Suivant". ** Pour Vista: un.
      Choisissez "Placer tous les certificats dans le magasin suivant", et
      cliquez sur le bouton "Parcourir". b. Cliquez sur " Afficher physica magasins
      une case à cocher. c. Étendre le Tiers de Certification Racine
      Des autorités dossier et choisissez "Ordinateur Local". Cliquez sur 'OK'
      bouton. d. Cliquez sur le bouton "Suivant".
    9. Cela doit afficher le 'Achèvement de l'Assistant Importation de Certificat" boîte de dialogue. Cliquez sur le bouton "Terminer".
    10. Un "Avertissement de Sécurité" pop-up apparaîtra. L'avertissement est pour vous informer que le certificat d'origine ne peut pas être validée. Vous
      faut savoir où le certificat de provenance. Si vous le faites, cliquez sur le
      Bouton " oui " pour installer le certificat.
    11. Une finale de pop-up pour vous informer que "L'importation a réussi," sera affiché. Cliquez sur le bouton 'OK'.
    12. Redémarrer/Ouvrez google Chrome et de naviguer sur le site en question. Vous devriez pas être accueillis par l'avertissement de sécurité de la page.

    Mis à part cela, je pense que j'ai peut-être découvert un bug dans Chrome. Voir:
    https://code.google.com/p/chromium/issues/detail?id=141839

    • Super utile. Pour d'autres, la recherche, Firefox silencieusement à l'abandon de la demande d'OPTIONS si le certificat ssl a des problèmes. J'ai juste fixé directement sur le domaine et ajouter une exception pour mon local auto-signé. Après que les OPTIONS de demandes a très bien fonctionné
    InformationsquelleAutor Halcyon
  2. 1

    Il peut être plus facile pour l'installation de quelque chose comme easyXDM. Il est plutôt rapide et qui fera tout le rétro-compatibilité pour vous (tout le chemin à IE6). Il pourrait ne pas être poussé solution que vous cherchez, mais si vous voulez de la croix-domaine (où vous avez accès aux deux côtés), pressé, il correspond à la facture.

    Vous pouvez toujours écrire votre propre iframe (postMessage) interface mais pourquoi réinventer la roue (et n'oubliez pas de régler votre document.nom de domaine si vous êtes à l'aide des sous-domaines différents).

    • J'ai une application qui fonctionne (JSONp). Mais je veux savoir pourquoi Chrome et Firefox, et le blocage de HTTP à HTTPS demandes. easyXDM semble plus maintenu, fouillis, entièrement fonction de ballonnement et il exige .. Flash? Une iframe de secours pourrait être intéressant si je veux faire les téléchargements ou de très grande demande, mais pour l'instant, je n'ai pas de telles exigences. Je suis également pas "pressés".
    • Pour chaque navigateurs les protocoles ont de très grandes répercussions autour de confidentialité et de sécurité. Les nouveaux navigateurs n'ont "Contenu de la Politique de Sécurité", mais vous ne savez pas si il est multi protocole. Je pourrais avoir sauté le pistolet en offrant une solution, mais le communauté de easyXDM est toujours là. Je crois que le dernier changement a été moins d'un mois (c'est juste assez stable et n'a pas besoin de toutes les nouvelles fonctionnalités). Pour ce qui est de flash, il est utilisé comme une solution de repli lorsque postMessage n'est pas une option, mais il n'a pas une grande (overkill) jeu de fonctionnalités.
    • Je ne suis pas sûr de ce que votre marché est vraiment, mais vous pourriez également être en mesure d'essayer de C et/ou "Access-Control-Allow-Origin". De nouveau, ceux qui sont vraiment dirigé vers la croix-domaine et non de la croix-protocole (mais pourrait être en mesure de se faufiler avec une).
    • Je suis à l'aide de la SCRO .. j'ai pensé que j'ai mentionné? Qu'est-ce que la croix-protocole?
    • Regarde comme je suis en oublie le monde autour de moi parfois (travailler trop d'heures je crois). HTTP & HTTPS sont différents protocoles est ce que je voulais dire par la croix-protocole. De toute façon W3C de la SCRO mentionne le user-agent peut être considéré comme indépendant de la page de la politique; et à son tour seront probablement empêcher https vers http appels.
    • HTTPS vers HTTP sûr, je peux le comprendre, mais de HTTP vers HTTPS?
    • Je comprends ce que vous dites (et j'ai un peu de choix de mots pour le w3c groupe en général), mais http->https casse la décision fondamentale que protocole différent === différents site/domaines. Il ne va pas changer, mais vous pouvez écrire votre propre postMessage des trucs comme je l'ai suggéré dans la réponse (et je suis tombé sur postMessage wrapper lib qui va rendre plus facile).

    InformationsquelleAutor SciSpear