是否可以将来自HTTPS页面的未加密流量列入白名单？

Question

我有一个内部web应用程序，它被设计为与在客户机上本地运行的服务器协同工作。(好奇的是:本地服务器用于解密使用客户机的GPG密钥从服务器检索到的数据。)

内部web应用程序通过HTTPS提供服务，而本地应用程序可通过localhost访问。过去，我可以从页面向localhost发出未加密的AJAX请求，没有任何问题；但最近Chrome似乎更新了，禁止从HTTPS提供的页面到任何目的地的HTTP请求。

我知道在绝大多数情况下，来自通过HTTPS提供的页面的HTTP请求构成了一个安全漏洞。但是，由于在这种情况下，我可以完全控制端点(即localhost)，所以在我看来，即使已经通过HTTPS提供了主页面，向该目的地发出HTTP请求也应该是完全安全的。

这个是可能的吗？以某种方式将本地主机列入白名单？

Answer 1

由于您同时控制着客户机和服务器，因此它听起来像是Cross-Origin Resource Sharing (CORS)的一个很好的候选者。服务器将必须设置一些响应头，以便向客户端提供访问权限。你可以在这里了解更多信息：http://www.html5rocks.com/en/tutorials/cors/