1
iPad浏览器在Ajax请求期间是否会查找CA对服务器提供的SSL密钥的识别?浏览器使用CA验证用于CORS Ajax请求的SSL密钥吗?
移动应用我正在开发将使用PhoneGap这意味着主网页是由额外资源得到加载时间已经加载。因此,到服务器的Ajax请求实质上是通过SSL的CORS。
一个我面对我的威胁评估最终的关键问题是如何避免恶意用户欺骗DNS服务,这样的请求会去到另一台服务器和潜在上传敏感数据的可能性。为此,我想知道在发送请求之前浏览器是否会完全验证SSL密钥?
如果不是,还有另一种方法可以确定我的Ajax请求是否正确?除了将IP地址硬编码到应用程序之外? (这仍然会有轻微的漏洞)
谢谢! 泰勒
UPDATE:
我相信我已经回答了这个问题,答案是“是”。
希望我能提供一个明确的答案,作为一个参考HTML规范对XmlHttpRequests,而是我的全部是实验结果。
我开始了PhoneGap的应用程序,并能够使从
- HTTPS简单jQuery.ajax()请求://www.google.com/(惊喜)
- 的http:// www.pcwebshop.co.uk/
两个返回的http状态200等,都不足为奇。
但是https://www.pcwebshop.co.uk/,其具有自签名的证书,将失败,并且jqXHR请求对象具有以下:
- textStatus: '错误'
- 状态:0(不是XXX HTTP状态)
- 的responseText:[空]
所以这是一个感性的结论,但应该工作。如果任何人都可以回答这个问题,请继续关注。