所以我是两个网站的开发者:domainA.com和domainB.com。 domainA.com使用以下javascript链接从domainB.com提取电子邮件:
<script type="text/javascript" src="http://emailfeed.domainB.com/blah">
这工作正常,但我最近不得不为domainA.com购买并安装SSL证书。在这之后,我使用http引用了几个api时遇到了一些错误,我通过将其链接更改为https来快速修复。但是,当我尝试将上述链接更改为https时,我得到了
GET https://emailfeed.domainB.com/blah net::ERR_INSECURE_RESPONSE
我立即知道是因为domainB.com没有SSL证书。好像我无法从https站点访问任何http资源。我明白为什么它这样设置,但它似乎也非常不方便,因为我控制两个站点,所以我知道两者都是安全的。
所以我的问题是,如果没有为domainB.com购买SSL证书,有没有解决这个问题的方法?
答案 0 :(得分:1)
...因为我控制了两个网站所以我知道两个网站都是安全的
SSL / TLS不保护站点的安全性,您也不能对使用SSL / TLS的站点的安全性做出任何假设。 SSL / TLS仅保护客户端和服务器之间的数据传输。此传输可能会受到攻击而不会攻击服务器或客户端,即使您完全控制服务器,通常也无法完全控制客户端和服务器之间的网络路径。
获取https://emailfeed.domainB.com/blah net :: ERR_INSECURE_RESPONSE
这意味着客户端无法验证它是否与正确的服务器通信,即它也可能是错误的服务器或中间的人。同样,这也没有假设服务器本身的安全性。
所以我的问题是,如果没有为domainB.com购买SSL证书,有没有解决这个问题的方法?
如果您只有几个客户端并且所有这些客户端都在您的控制之下,您可以使这些客户端接受该站点的特定自签名证书。如果您有更多客户端或客户端无法控制,则需要一个可由客户端信任的证书,而不会添加明确的异常。此类证书由客户端信任的CA签名。您可以从各种CA获得此类证书,具体取决于您希望从CA获得的证书类型和服务,它们可能需要花钱,甚至可能是免费的,例如Let's Encrypt。
答案 1 :(得分:0)
不,没有获得SSL证书就无法解决这个问题。
但请注意,我说获取证书,而不是购买证书。您可以从Let's Encrypt获得免费的SSL证书,不附带任何附加信息。
答案 2 :(得分:0)
您可以选择通过domainA代理所有内容,以便GET用于来自domainA的URL,您拥有证书,然后该计算机上的后端软件将连接转移到domainB并转发响应。< / p>