Небезопасные вызовы XMLHttpRequest с защищенной страницы

Question

в нашей компании нам нужно внедрить самостоятельно размещенную службу отдыха, которая должна быть развернута на клиентских рабочих станциях, чтобы наши внутренние веб-приложения взаимодействовали с ними. Веб-приложения находятся в https, и в настоящее время мы не используем заголовки CSP.

Мы обеспокоены тем, необходимо ли вызывать локальную службу также в https или этого нельзя избежать (и поэтому мы можем избежать управления сертификатом для развертывания на каждой отдельной рабочей станции).

Мы провел несколько испытаний с Chrome и Edge, и кажется, что вызовы ajax работают также в обычном http, но мы хотели бы знать, поддерживается ли это на самом деле или нет. Наши внутренние веб-приложения на данный момент не используют заголовки Политики безопасности контента.

Спасибо!

Answer 1

При подключении по HTTPS браузеры будут блокировать HTTP-контент как смешанный контент, CSP не будет его менять. Однако Chrome разрешит смешанное содержимое на http://127.0.0.1 и http://localhost, а Firefox разрешит его на http://127.0.0.1, см. Примечание на https://developer.mozilla.org/en-US/docs/Web/Security/Mixed_content.

Когда вы внедряете CSP, вы должны включить http://127.0.0.1 (или http://localhost) для соответствующей директивы.