从HTTPS页面进行HTTP AJAX调用有什么问题吗？

Question

我知道几乎所有的浏览器都会阻止来自非安全页面的HTTPS调用，但是反过来呢？我有兴趣使用一个免费的地理位置API，不支持HTTPS的免费计划。

从HTTPS页面进行不安全的AJAX调用有什么问题吗？这会产生任何类型的浏览器错误吗？

Answer 1

当您的页面上有混合安全内容时，这是危险的，因为这允许不安全的内容被篡改(这可能会修改您的安全内容)。例如，我可以修改一个通过不安全的HTTP加载的脚本，使其通过MITM攻击做一些令人讨厌的事情(比如通过AJAX发送所有用户数据)。在HTTPS上做这件事要困难得多，因为所有的东西都是加密的。

类似地，从AJAX请求发送和接收的内容是通过不安全的连接传输的，因此可能会被篡改。它的危险取决于您如何处理响应，但请尽可能使用HTTPS。比如说，如果您在适当地转义和清理数据的情况下获得了一场体育比赛的分数，这可能并不重要，但是如果您发送的是一个帐户的用户名和密码，那么……