CORS Web アプリケーション (javascript のみ)を作成しました。このアプリケーションを別の LAN にインストールして実行したいと考えています。
SSLを入れたいのですが、LANの正確な構成がどうなるかわかりませんし、おそらく毎回違うでしょう。したがって、認証済みの SSL を追加することはできないと思います。SSLを使用した他の解決策はありますか? 警告があるため、認証されていない SSL を追加するアプローチは好きではありません。
パッケージを暗号化し、リクエストを安全に認証するにはどうすればよいですか? 私は CouchDB のデフォルトの CORS を使用していますが、Web アプリケーションがインストールされ、オープンな WIFI で使用されている場合、パッケージを傍受できます。アプリケーションは JavaScript のみを使用しており、それを保護する方法がわかりません (唯一のバックエンドは、couchDB のストレージです)。
CORS 対応アプリケーションの設計は、SSL を使用するかどうかとは直接関係ありません。CORS 仕様のこのセクションを参照してください。
CORS をサポートするようにアプリケーションを設計することと、SSL 接続を介してアプリケーションを提供することは別の決定であり、同じ人によって行われるとは限りません。「異なる LAN にインストールして実行する」と言うとき、おそらく異なるドメインの下で、さまざまな人/会社がサーバー側のコードをホストすることを意味していると思います。
コードをホストしている Web サーバーが SSL を実行している Web サーバーと同じであると想定してはなりません。SSL ターミネーションは、要求を Web サーバーにプロキシする別のデバイスである可能性があるためです。
このドキュメントのような場合に私が行うことは、インストール手順で SSL の潜在的な必要性を文書化し、環境に適した方法で人々に SSL を許可する (または許可しない) ことです。