1
我有一个内部Web应用程序,旨在与在客户机上本地运行的服务器协同工作。 (为了好奇:本地服务器用于解密使用客户端机器的GPG密钥从服务器检索到的数据。)我可以将通过HTTPS提供的页面中的未加密流量列入白名单吗?
内部Web应用程序通过HTTPS提供,而本地应用程序可通过本地主机访问。它曾经是我可以没有任何问题地将未加密的AJAX请求从页面发送到本地主机;但似乎最近Chrome已更新为禁止通过HTTPS提供的页面向任何目标发送HTTP请求。
据我所知,在绝大多数情况下,来自通过HTTPS提供服务的页面的HTTP请求构成安全漏洞。然而,由于我在这种情况下(即本地主机)完全控制了端点,所以在我看来,即使主机页面已经通过HTTPS提供服务,向该一个目标发出HTTP请求仍应该是完全安全的。
这可能吗?以某种方式将本地主机列入白名单?