security - seguro - pagina no segura chrome solucion
¿Chrome ahora bloquea todas las solicitudes jsonp de https a http? (2)
En algún momento, Chrome recientemente dejó de mostrar los datos cargados a través de jsonp con el error
[bloqueado] La página en https://user.example.com/category/12345 ejecutó contenido inseguro desde http://livedata.example.com/Data.svc/jsonp/GetData?category=12345&callback=_jsp&_1346417951424= .
Todavía funciona bien en todos los demás navegadores y se ha confirmado en varios equipos diferentes que ejecutan Chrome.
La única mención que he visto antes de este problema es cuando la página se publicó desde uno de los propios dominios de Google (una característica de seguridad para Google Apps, supongo?), ¿Es esto algo que se ha habilitado en todos los dominios ahora en una versión reciente? de cromo?
Idealmente, no queremos tener que habilitar https en nuestro subdominio de datos de vida debido a la carga adicional del servidor que causaría, todos los datos están disponibles públicamente, por lo que no hay necesidad de cifrarlos.
Definitivamente debería bloquearlo, es inseguro y rompe la promesa de HTTPS.
La obtención de recursos JSONP se realiza creando un recurso <script>
que apunta al destino. Eso significa que el servidor de destino puede ejecutar cualquier JavaScript que le guste en la página incluida, y por lo tanto cualquier persona en el medio puede inyectar un script arbitrario en una página supuestamente protegida por HTTPS (por ejemplo, agregar un keylogger o reemplazar completamente el contenido de la página) ). Una página HTTPS con un <script>
proveniente de HTTP no es más segura que una página HTTP simple.
Deberá proporcionar una versión HTTPS de su fuente de datos, si desea que las páginas HTTPS puedan acceder a ella. De lo contrario, los navegadores deberían, como mínimo, producir advertencias. Chrome ahora por defecto para bloquear no cambia la naturaleza del problema, solo le está dando el impulso adicional que necesita para solucionarlo correctamente.
<script src="//domain.com/script.js"></script>
resuelve el problema si el servidor remoto permite HTTPS ... // establecerá automáticamente el protocolo en https si se accede al sitio por https.