我有一个内部 Web 应用程序,旨在与在客户端计算机上本地运行的服务器协同工作。(出于好奇:本地服务器用于使用客户端机器的 GPG 密钥解密从服务器检索到的数据。)
内部 Web 应用程序通过 HTTPS 提供服务,而本地应用程序可通过 localhost 访问。过去,我可以毫无问题地从页面向 localhost 发出未加密的 AJAX 请求;但似乎最近 Chrome 已更新为禁止从通过 HTTPS 提供的页面向任何目的地发出 HTTP 请求。
我知道在绝大多数情况下,来自通过 HTTPS 提供的页面的 HTTP 请求构成安全漏洞。但是,由于在这种情况下我可以完全控制端点(即 localhost),所以在我看来,即使通过 HTTPS 提供了主机页面,向该目标发出 HTTP 请求仍然是完全安全的。
这可能吗?以某种方式将 localhost 列入白名单?