HTTP-сайт с JSONP API через HTTPS?

Question

Учитывая весь охват, который получает FireSheep, я пытался выработать лучшие практики для балансировки использования HTTP / HTTPS для некоторых сайтов, которыми я управляю (например, сайты блогов, журнальные сайты с комментариями пользователей).

Для меня это слишком много, чтобы доставить все страницы через HTTPS, если пользователь вошел в систему. Если страница общедоступна (например, блог), нет смысла шифровать общедоступную страницу.Все, что я хочу сделать, это предотвратить перехват сеансов, прослушивая cookie-файлы по HTTP-каналам.

Итак, один план:

• Форма входа через HTTPS
• Проблема втораяфайлы cookie: один файл cookie является «общедоступным» и идентифицирует там пользователя только для чтения (например, «добро пожаловать, боб!»).Второй файл cookie является приватным и «только HTTPS».Это файл cookie, который проверяется всякий раз, когда пользователь вносит изменения (например, добавляет комментарий, удаляет сообщение).

Это означает, что все «изменяющиеся» запросы должны отправляться по HTTPS.

Мы используем много AJAX.Действительно, многие формы комментариев используют AJAX для публикации контента.

Очевидно, я не могу использовать AJAX напрямую для публикации контента в бэкэнд HTTPS из внешнего интерфейса HTTP.

Мой вопрос: могу ли я использоватьвнедрение скрипта (я думаю, это обычно называется JSONP?) для доступа к API?Таким образом, в этом случае будет открытая HTTP-страница, которая отправляет данные в частный бэкэнд путем внедрения сценария, доступ к которому осуществляется через HTTPS (чтобы частный cookie-файл был виден в запросе).страницу HTTP?Я знаю, что вы получаете предупреждения наоборот, но я полагаю, что HTTPS внутри HTTP не является брешей в безопасности.

Будет ли это работать?Похоже, что он работает в Chrome и FF, но его IE, который будет вечеринкой Pooper!

Answer 1

Другим способом является создание iframe, который указывает на страницу https, которая может выполнять все виды (GET, POST, PUT и т. Д.) Вызовов Ajax на сервер через https (тот же домен, что и iframe на https). Как только ответ вернется в iframe, вы можете отправить сообщение обратно в главное окно, используя HTML5 postMessage API.

Pseudo code:
    <iframe src="https://<hostname>/sslProxy">
    sslProxy:
        MakeAjaxyCall('GET', 'https://<hostname>/endpoint', function (response) {
            top.postMessage(response, domain);
        });

Это работает во всех современных браузерах, кроме IE <= 7, для которых вам придется либо использовать JSONP, либо междоменную связь с помощью Flash. </p>

Answer 2

Проблема с JSONP заключается в том, что вы можете использовать его только для GET.

Может ли быть содержимое HTTPS внутри страницы HTTP?Я знаю, что вы получаете предупреждения наоборот, но я полагаю, что HTTPS внутри HTTP не является нарушением безопасности.

Включение содержимого HTTPS внутри обычной страницы HTTP не вызовет никаких предупреждений ни в одномбраузер.Однако я не думаю, что JSONP поможет вам в этом.Использование GET для публикации контента и изменения данных - очень плохая идея, и она подвержена другим атакам, таким как CSFR