Я создаю API, предназначенный для использования клиентами Javascript, размещенными в разных доменах через запросы CORS.
Мой API доступен только через HTTPS.
Я бы хотел ограничить доступ только теми клиентами Javascript, которые также обслуживаются из доменов HTTPS.
Чтение спецификации CORS - http://www.w3.org/TR/cors/#user-agent-security - похоже, что большинство пользовательских агентов автоматически запрещают HTTPS-клиенту выполнять запросы HTTP API.
Можно ли требовать обратного - т.е. запретить HTTP-клиентам доступ к моему HTTPS API?