iPadブラウザは、Ajaxリクエスト中にサーバーが提供するSSLキーのCA認識を探しますか?ブラウザはCA for CORS AjaxリクエストでSSLキーを検証しますか?
私はメインページが追加のリソースがロードされる時点で既にロードされていることを意味しているPhoneGapを使用します開発していますモバイルアプリ。そのため、サーバーに対するAjaxリクエストは本質的にSSLを介したCORSです。
私が脅威評価で直面する最終的な重大な問題の1つは、悪意のあるユーザーがDNSサービスを騙してリクエストが別のサーバーに移動し、機密データをアップロードする可能性を回避する方法です。このため、リクエストを送信する前にブラウザがSSLキーを完全に検証するかどうかを知りたいですか?
ない場合、私は私のAjaxリクエストが適切な場所に行っていることを確信することができ、他の方法は何ですか? IPアドレスをアプリにハードコードする以外の方法はありますか? (それでもやや脆弱性が残る)
ありがとう! タイラー
UPDATE:
私が質問に答えている、との答えがあると信じて、「はい。」
は私がXMLHttpRequestsのためのHTMLの仕様を参照して、として、決定的な答えを提供することができることを望むが、私が持っている代わりに、すべての実験結果です。
私はPhoneGapのアプリを起動し、
- HTTPSからの簡単なjQuery.ajax()要求作ることができた://www.google.com/(驚き)
- のhttp://をwww.pcwebshop.co.uk/
両方とも、httpステータス200などが返されましたが、驚くことではありません。
- textStatus: 'エラー'
- 状況:0(ないXXXのHTTPステータス) 、自己署名証明書を持って失敗し、jqXHR要求オブジェクトは、次のを持っている
- responseText:[空]
しかしhttps://www.pcwebshop.co.uk/、
これは帰納的な結論ですが、うまくいくはずです。誰もがこの正式に答えることができれば、まだ興味があります。