在Ajax请求期间,iPad浏览器是否会查找服务器提供的SSL密钥的CA识别?
我正在开发的移动应用将使用PhoneGap,这意味着在加载其他资源时已经加载了主页面。因此,对服务器的Ajax请求基本上是基于SSL的CORS。
我在威胁评估中面临的最后一个关键问题是如何避免恶意用户欺骗DNS服务的可能性,以便请求将转到另一台服务器并可能上传敏感数据。为此,我想知道浏览器是否会在发送请求之前完全验证SSL密钥?
如果没有,是否有另一种方法可以确定我的Ajax请求是否到了正确的位置?除了将IP地址硬编码到应用程序中? (这仍然会留下轻微的漏洞)
谢谢! 泰勒
更新:
我相信我已回答了这个问题,答案是“是的。”
希望我能提供一个明确的答案,就像对XmlHTTPRequests的HTML规范的引用一样,但我所拥有的只是实验结果。
我启动了一个PhoneGap应用程序,并且能够从
创建一个简单的jQuery.ajax()请求两者都返回http状态200等,这并不奇怪。
但具有自签名证书的https://www.pcwebshop.co.uk/失败,并且jqXHR请求对象具有以下内容:
所以这是一个归纳的结论,但应该有效。如果有人能够以规范的方式回答这个问题仍然感兴趣。
答案 0 :(得分:0)
如果未验证服务器证书是否可信,则无法正确实施HTTPS / SSL。 NB'证书'不是'钥匙'。