Как я могу сделать HTTP-запрос с веб-сайта HTTPS?

Question

У меня есть веб-сайт, работающий по протоколу HTTPS, и я хочу сделать запрос GET к порту HTTP. В тот момент, когда я пытаюсь это сделать, я получаю следующие ошибки:

cannot load ${url} due to access control checks.

this page was not allowed to display insecure content from ${http-url}

Я думал о том, чтобы поместить запрос в лямбда-функцию AWS и вызвать функцию labmda, потому что это даст мне HTTPS URL? Это возможно.

Несмотря на это, я хочу знать, каков самый простой способ сделать это, так как я не очень много знаю о AWS, поэтому мне придется изучить его.

const url = 'http://website/fmi/xml/fmresultset.xml?-dbnames';

var xhttp = new XMLHttpRequest(); 
xhttp.onreadystatechange = function (params) { 
  console.log(xhttp.status); 
  if (xhttp.readyState ==4) { 
    if (xhttp.status == 200) { 
      console.log('===='); 
      console.log(xhttp.responseText); 
    } 
  } 
} 
xhttp.open("GET", url, true); 
xhttp.send();

Answer 1

Ну, вы не можете браузер блокировать любые ресурсы (скрипты, ссылки, iframe, XMLHttpRequest, fetch) для загрузки, если исходная html-страница находится в https, а ресурсы запроса - в http.

Браузер выдает ошибку Mixed Content.

Отрывок из Mozilla MDN

Смешанный активный контент - это контент, который имеет доступ ко всем или частям Объектная модель документа страницы HTTPS. Этот тип смешанного контента может изменить поведение страницы HTTPS и потенциально украсть конфиденциальные данные от пользователя. Следовательно, в дополнение к рискам описанный выше для смешанного содержимого отображения, смешанное активное содержимое уязвимы для нескольких других векторов атаки.

В случае со смешанным активным контентом злоумышленник может посередине перехватить запрос на содержимое HTTP. Злоумышленник также может переписать ответ, чтобы включить вредоносный код JavaScript. злонамеренный активный контент может украсть учетные данные пользователя, приобрести конфиденциальный данные о пользователе или попытка установить вредоносное ПО на пользователя система (используя уязвимости в браузере или его плагинах, например).

Риск, связанный со смешанным контентом, зависит от типа веб-сайт, который посещает пользователь и насколько уязвимы данные этот сайт может быть. Веб-страница может иметь общедоступные данные, видимые для мировые или личные данные видны только при аутентификации. Если веб-страница является общедоступной и не имеет конфиденциальных данных о пользователе, используя смешанные активные контент по-прежнему предоставляет злоумышленнику возможность перенаправить пользователь на другие страницы HTTP и украсть файлы cookie HTTP с этих сайтов.

Полезные ссылки на документацию

MDN - https://developer.mozilla.org/en-US/docs/Web/Security/Mixed_content

Разработчики Google - https://developers.google.com/web/fundamentals/security/prevent-mixed-content/what-is-mixed-content