iPad 浏览器是否会在 Ajax 请求期间寻找服务器提供的 SSL 密钥的 CA 识别?
我正在开发的移动应用程序将使用PhoneGap,这意味着在加载其他资源时已经加载了主页。因此,对服务器的 Ajax 请求本质上是基于 SSL 的 CORS。
我在威胁评估中面临的最后一个关键问题是如何避免恶意用户欺骗 DNS 服务的可能性,以便请求会转到另一台服务器并可能上传敏感数据。为此,我想知道浏览器是否会在发送请求之前完全验证 SSL 密钥?
如果没有,是否有另一种方法可以确定我的 Ajax 请求将发送到正确的位置?除了将 IP 地址硬编码到应用程序中之外?(这仍然会留下轻微的漏洞)
谢谢!泰勒
更新:
我相信我已经回答了这个问题,答案是“是的”。
希望我能提供一个明确的答案,就像参考 XmlHTTPRequests 的 HTML 规范一样,但我所拥有的只是实验结果。
我启动了一个 PhoneGap 应用程序,并能够发出一个简单的 jQuery.ajax() 请求
- https://www.google.com/(惊喜)
- http://www.pcwebshop.co.uk/
两者都返回http状态200等,不足为奇。
但是具有自签名证书的https://www.pcwebshop.co.uk/失败,并且 jqXHR 请求对象具有以下内容:
- 文本状态:'错误'
- 状态:0(不是 XXX http 状态)
- 响应文本:[空]
所以这是一个归纳结论,但应该有效。如果有人可以规范地回答这个问题,仍然很感兴趣。