iPadブラウザーは、Ajaxリクエスト中にサーバーによって提供されたSSLキーのCA認識を探しに行きますか?
私が開発しているモバイルアプリはPhoneGapを使用します。これは、追加のリソースが読み込まれるまでにメインページが既に読み込まれていることを意味します。そのため、サーバーへのAjaxリクエストは、基本的にCORSoverSSLです。
脅威評価で直面する最後の重大な問題の1つは、悪意のあるユーザーがDNSサービスをだまして、要求が別のサーバーに送信され、機密データをアップロードする可能性を回避する方法です。このため、リクエストを送信する前にブラウザがSSLキーを完全に検証するかどうかを知りたいですか?
そうでない場合、Ajaxリクエストが適切な場所に送信されていることを確認できる別の方法はありますか?IPアドレスをアプリにハードコーディングする以外に?(それでもわずかな脆弱性が残ります)
ありがとう!タイラー
アップデート:
私は質問に答えたと思います、そして答えは「はい」です。
XmlHTTPRequestsのHTML仕様への参照のように、私が決定的な答えを提供できればいいのですが、代わりに私が持っているのは実験的な結果だけです。
PhoneGapアプリを起動し、から簡単なjQuery.ajax()リクエストを行うことができました。
- https://www.google.com/(サプライズ)
- http://www.pcwebshop.co.uk/
どちらもhttpステータス200などを返しましたが、当然のことです。
ただし、自己署名証明書を持つhttps://www.pcwebshop.co.uk/は失敗し、jqXHR要求オブジェクトには次のものがあります。
- textStatus:'エラー'
- ステータス:0(XXX httpステータスではありません)
- responseText:[空]
したがって、これは帰納的な結論ですが、機能するはずです。誰かがこれに標準的に答えることができるかどうかまだ興味があります。