Ajax utilizzando https su una pagina http

Il mio sito utilizza il protocollo http e https; non influisce sul contenuto. Il mio sito utilizza chiamate jQuery ajax, che riempiono anche alcune aree della pagina.

Ora, vorrei fare tutte le chiamate ajax tramite https. (per favore non chiedermi perché :)) Quando sono su una pagina con protocollo https, le richieste ajax funzionano. Quando sono su una pagina con protocollo http, ricevo un errore javascript: Accesso a URI limitato negato

So che questo è un problema interdominio (in effetti, è un problema interprotocollo) e so che dovrei usare lo stesso protocollo nelle chiamate ajax come nella pagina corrente.

Tuttavia, voglio che tutte le chiamate ajax siano https e le chiamo su una pagina che è stata servita tramite http. C'è qualche soluzione alternativa per raggiungere questo obiettivo (qualche soluzione json / proxy?) O è semplicemente impossibile?

Aggiungi l'intestazione Access-Control-Allow-Origin dal server

Access-Control-Allow-Origin: https://www.mysite.com

http://en.wikipedia.org/wiki/Cross-Origin_Resource_Sharing

Prova JSONP.

la maggior parte delle librerie JS lo rendono facile come le altre chiamate AJAX, ma internamente usa un iframe per eseguire la query.

se non stai utilizzando JSON per il tuo payload, dovrai applicare il tuo meccanismo all'iframe.

personalmente, reindirizzerei semplicemente dalla pagina http: // a quella https: //

http://example.com/ potrebbe risolversi in un VirtualHost diverso da https://example.com/ (che, poiché l'intestazione Host non viene inviata, risponde all'impostazione predefinita per quell'IP), quindi i due vengono trattati come separati domini e quindi soggetti a restrizioni JS crossdomain.

I callback JSON potrebbero consentirti di evitarlo.

Dai un'occhiata al progetto opensource Forge. Fornisce un'implementazione TLS JavaScript, insieme ad alcuni Flash per gestire le effettive richieste interdominio:

http://github.com/digitalbazaar/forge/blob/master/README

In breve, Forge ti consentirà di effettuare XmlHttpRequests da una pagina web caricata su http a un sito https. Sarà necessario fornire un file di criteri tra domini Flash tramite il server per abilitare le richieste tra domini. Dai un'occhiata ai post del blog alla fine del README per ottenere una spiegazione più approfondita di come funziona.

Tuttavia, devo menzionare che Forge è più adatto per le richieste tra due diversi domini https. Il motivo è che c'è un potenziale attacco MiTM. Se carichi JavaScript e Flash da un sito non protetto, potrebbero essere compromessi. L'utilizzo più sicuro è caricarlo da un sito protetto e quindi utilizzarlo per accedere ad altri siti (sicuri o meno).

Potresti provare a caricare la pagina https in un iframe e instradare tutte le richieste ajax dentro / fuori dal frame tramite un bridge, è un hackaround ma potrebbe funzionare (non sono sicuro che imporrà le stesse restrizioni di accesso dato il contesto sicuro) . In caso contrario, un proxy http locale per reindirizzare le richieste (come qualsiasi chiamata interdominio) sarebbe la soluzione accettata.

Ecco cosa faccio:

Genera un iFrame nascosto con i dati che desideri pubblicare. Dato che controlli ancora quell'iFrame, la stessa origine non si applica. Quindi invia il modulo in quell'iFrame alla pagina ssl. La pagina SSL reindirizza quindi a una pagina non SSL con messaggi di stato. Hai accesso all'iFrame.