Приходит ли браузер iPad искать распознавание ЦС ключа SSL, предлагаемого сервером во время запроса Ajax?Выполняют ли браузеры проверку ключа SSL с помощью CA для запросов AORS CORS?
Мобильное приложение, которое я разрабатываю, будет использовать PhoneGap, что означает, что основная страница загружается уже к моменту загрузки дополнительных ресурсов. Таким образом, запросы Ajax на сервер по существу являются CORS через SSL.
Одна из заключительных критических проблем, с которой я сталкиваюсь в своей оценке угрозы, заключается в том, как избежать возможности злонамеренного пользователя, обслуживающего службу DNS, чтобы запросы переходили на другой сервер и потенциально загружали конфиденциальные данные. Для этого я хотел бы знать, будет ли браузер полностью проверять ключ SSL перед отправкой запроса?
Если нет, есть ли другой способ, которым я могу быть уверен, что мои запросы Ajax идут в нужное место? Помимо жесткого кодирования IP-адреса в приложении? (что все равно оставит небольшую уязвимость)
Спасибо! Тайлер
UPDATE:
Я полагаю, что я ответил на этот вопрос, и ответ «Да».
Желаю, чтобы я мог дать окончательный ответ, как со ссылкой на спецификации HTML для XmlHTTPRequests, но вместо этого все, что у меня есть, - это экспериментальные результаты.
Я начал приложение PhoneGap и был в состоянии сделать простой jQuery.ajax() запрос от
- https: //www.google.com/ (сюрприз)
- HTTP: // www.pcwebshop.co.uk/
Оба возвратили статус http 200 и т. д., не удивительно.
Но https://www.pcwebshop.co.uk/, который имеет отдельный сертификат, не удается, и объект запроса jqXHR имеет следующее:
- textStatus: 'ошибка'
- статус: 0 (не статус HTTP XXX)
- responseText: [пусто]
Так что индуктивный вывод, но должен работать. Все еще интересно, может ли кто-нибудь ответить на это канонически.