AJAX调用不受信任(自签名)的HTTPS无提示失败
我想对使用自签名证书的安全服务器进行AJAX调用。 在我的应用程序使用的环境中,这很好 – 我可以向用户提供CA证书,并让他们在使用应用程序之前安装它。 但是,有时,用户会在安装证书之前尝试访问该应用程序。 在这些情况下,应用程序默默地失败 – 至少在Firefox(问题的最常见情况)中,看起来调用无声地死亡,甚至没有触发error handling程序。 FWIW,如果用户访问服务器上的实际页面 ,则会收到证书警告。
我可以破解一个解决方法 – 例如,发出一个心跳/ ping请求并设置一个看门狗计时器来查看服务器是否及时响应 – 但这看起来好吧,哈希。 我希望能够提前测试连接。 确保要与之通信的服务器具有Javascript中的可信证书的“正确”方法是什么? 如果它有任何区别,我正在通过JQuery做我的AJAX请求。
更新:这里有一个很棒的妙语。 事实certificate,AJAX根本不是问题。 我确信它基于与自签名证书相关的症状,但缺乏AJAX错误令人不安,尤其是。 鉴于以下答案中链接的规范。 另一个团队成员钉了它:AJAXerror handling程序没有启动,因为JQuery从未加载过 ! 我们在我们网站的另一个子域中包含了JQuery,也是在HTTPS上托管的 – 用户为ourService.example.com添加了例外,但没有为js.example.com添加例外。 显然,如果您将标记指向不受信任的安全连接, 那么它也会无声地失败。
{/ headdesk}
XMLHttpRequests(AJAX请求)仅允许在同源服务器上使用。 这意味着方案:// host:目标URL的端口部分必须与当前文档的端口部分匹配。 根据规范,您甚至不应该允许您从非SSL的SSL URL发出请求。
我看到的不那么强硬的解决方案就是强制将所有用户强制重定向到SSL站点。 这样,在发出任何AJAX请求之前,他们将被迫查看证书警告。
注意:规范还说,如果TLS握手失败(我认为这种情况属于某种方式),它应该抛出NETWORK_ERR(代码19)exception。 您可以尝试在启动AJAX请求时捕获exception。 有关更多详细信息,请参阅error handling规范 。