如何处理内部网中需要安全上下文的web应用程序？

Question

我有一个网络应用程序，将由客户在内部网使用。它使用需要安全上下文的功能，例如getUserMedia。目前，这方面的最佳实践是什么？

客户几乎没有技术知识，而且应用程序可能只被路过的人使用，因此在浏览器上创建和安装证书颁发机构太麻烦了。虽然在安装过程中需要互联网连接是可以接受的，但并不能保证所有时间都会有互联网连接。TLS证书的警告消息是可以接受的(不理想，但可以解释)，但自签名证书不能解决问题，因为它们仍然被认为是不安全的上下文。我不能控制内部网，运行服务的设备只能通过IP访问，没有主机名或本地DNS服务器。

有什么替代方案可以获得尽可能无摩擦的安全上下文？

Answer 1

基于Chrome 88的解决方案不保证更早版本和更高版本。

服务器:不能通过IP或DNS访问任何特殊内容

客户端：

1. 批处理文件将成为用户桌面上的快捷方式，并在chrome中作为独立于应用程序的窗口启动web应用程序。

start "WEB APP" /MAX ...的使用是为了确保批处理文件的命令窗口尽可能快地消失。

@Echo off 

set WEB_APP_URL=http://app.ip.or.dns

start "WEB APP" /MAX "C:\Program Files\Google\Chrome\Application\chrome.exe" --ignore-certificate-errors --unsafely-treat-insecure-origin-as-secure=%WEB_APP_URL%  --allow-running-insecure-content --ignore-certificate-errors --app=%WEB_APP_URL%

如果你想让这个应用程序有一个完全不同的chrome配置文件，添加这个

set COMMON_USER_DATA_DIR=C:\\Users\\Public\\YOUR_APP\\

--user-data-dir=%COMMON_USER_DATA_DIR% --profile-directory=Default --allow-profiles-outside-user-dir