在Chrome 60中,他们添加了功能,该功能为非TLS连接禁用crypto.subtle
。出于安全原因,我们的产品需要运行本地服务器并将一些安全的远程连接转发到localhost
。因为localhost
在技术上并不是一个命名的域名,所以我们不能使用TLS - 在Chrome(以及基于铬的浏览器,如Opera)中使crypto.subtle
无法使用,并且迫使我们使用不太安全的填充程序,如asmCrypto.js。有没有什么办法可以让Chrome通过头文件启用crypto.subtle
?有什么方法可以在我们可以告诉用户有关(最坏的情况下)的设置中禁用新的功能?如何在Chrome中为不安全的起源启用crypto.subtle?
0
A
回答
1
在铬60,它们增加了一个功能,禁用crypto.subtle用于非TLS连接
不完全是,crypto.subtle
是因为第一支持版本非安全来源禁用(铬32?)
但localhost
被认为是一个安全的起源https://www.chromium.org/Home/chromium-security/prefer-secure-origins-for-powerful-new-features
“安全的起源”是相匹配的乐起源说AST以下(方案,主机,端口)模式中的一个:
(HTTPS,*,*)
(WSS,*,*)
(*,本地主机, *)
(* 127/8,*)
(*,:: 1/128,*)
(文件,*, - )
(铬扩展,*, - )
所以,你应该能够在http://localhost
使用网络Cryptographi API。
您是否在为您的网站使用HTTPS?这可能是因为您遇到与混合HTTPS和HTTP相关的问题。 Chrome会阻止HTTP连接到本地主机。然后,你可以生成一个127.0.0.1自签名证书,并使用HTTPS启动您的本地服务器(类似于@SLaks回答,但你不会需要一个hosts
条目)
0
您应该创建一个CNAME或hosts
条目,指向一个有效的域名为127.0.0.1
,然后获得该域的(可能是自签名的)证书。
相关问题
- 1. “不安全的来源不安全的来源”标志在Chrome上不起作用
- 2. 在Chrome中不安全的来源使用getUserMedia()
- 3. Jenkins启用安全性不起作用
- 4. Unsafely将不安全的来源视为安全不被识别 - Google Chrome
- 5. 如何在HBase中启用安全性?
- 6. HTTPS在Firefox中安全,但在Chrome中不安全
- 7. 为什么我在本地主机上的Chrome中出现getCurrentPosition()和watchPosition()“不安全起源”错误?
- 8. Glassfish 3.1.1 - 如何为不同的域启用安全管理?
- 9. 地理位置getCurrentPosition()和watchPosition()不起作用在不安全的起源
- 10. 源安全为Android
- 11. 如何在安全比赛中使用不安全的代码?
- 12. Chrome 58不安全URL中的数据
- 13. PDFBOX安全不起作用
- 14. u-boot在启用安全启动后挂起:on overo
- 15. 如何禁用在支持CSP的chrome beta中执行的不安全脚本
- 16. 弹簧安全启用后,静态资源不再可用
- 17. 如何从chrome扩展的content_security_policy中删除不安全评估
- 18. Chrome和Firefox源代码不起作用
- 19. 启用内容安全策略时传送带不起作用
- 20. 何时安全启用CORS?
- 21. 如何在Chrome中查看具有不安全和安全请求的Web应用程序?
- 22. 的Java Web应用服务安全和不安全的资源
- 23. 如何在websphere 6中启用drools guvnor的安全性?
- 24. 如何将不安全的cookie转换为安全的cookie
- 25. 如何在Chrome中启用VLC插件?
- 26. 在Asp.Net中启用HTTPOnly安全
- 27. Prototype的Ajax.Request在Chrome中不起作用
- 28. 春季安全:注销不起作用 - “请求的资源不可用”
- 29. 如何在生产模式下启动不安全的Play Server
- 30. 如何解决只允许安全起源
事实上,我们甚至不能使用localhost某些其他原因(不记得为什么),但127.0.0.1修复的问题,是相同的(?)为localhost,这样制定。 –