如何验证ssl证书?(How are ssl certificates verified?)
安全验证ssl证书所需的一系列步骤是什么? 我(非常有限)的理解是,当您访问https站点时,服务器向客户端(浏览器)发送证书,浏览器从该证书中获取证书的颁发者信息,然后使用它与联系发行者进行比较有效证明。
- 这是怎么完成的?
- 该过程如何使其免受中间人攻击?
- 什么阻止一些随机的人设置自己的验证服务来用于中间人的攻击,所以一切“看起来”安全?
What is the series of steps needed to securely verify a ssl certificate? My (very limited) understanding is that when you visit an https site, the server sends a certificate to the client (the browser) and the browser gets the certificate's issuer information from that certificate, then uses that to contact the issuerer, and somehow compares certificates for validity.
- How exactly is this done?
- What about the process makes it immune to man-in-the-middle attacks?
- What prevents some random person from setting up their own verification service to use in man-in-the-middle attacks, so everything "looks" secure?
原文:https://stackoverflow.com/questions/188266
最满意答案
Chrome不认为任何两个本地文件之间有任何常见的关系。
您可以通过选项“--allow-file-access-from-files”来启动它来告诉您不同意。
感谢上次的大师尼克·克劳德(Nick Craver)在这个信息中提到了这个问题。
Chrome doesn't believe that there's any common relationship between any two local files.
You can start it with the option "--allow-file-access-from-files" to tell it you disagree.
Thanks to the ascendant master Nick Craver for this info when I asked essentially the same question some time ago.
相关问答
更多-
通常这个问题是页面的uri是文件:/ /,如果从服务器执行该问题,这个问题就会消失,但是另一个选择是使用- allow-file-access-from-files启动Chrome Normally this problem is that the uri of the page is file :/ /, this problem disappears if the execution is done from a server, but another option is to start Chrome ...
-
Chrome不认为任何两个本地文件之间有任何常见的关系。 您可以通过选项“--allow-file-access-from-files”来启动它来告诉您不同意。 感谢上次的大师尼克·克劳德(Nick Craver)在这个信息中提到了这个问题。 Chrome doesn't believe that there's any common relationship between any two local files. You can start it with the option "--allow-fil ...
-
来源http:// localhost:3000不允许Access-Control-Allow-Origin(Origin
is not allowed by Access-Control-Allow-Origin) [2022-04-14]由于它们在不同的端口上运行,它们是不同的域。 它们在同一个机器/主机名上并不重要。 您需要在服务器上启用CORS(localhost:8080)。 查看本网站: http : //enable-cors.org/ 所有您需要做的是向服务器添加一个HTTP头: Access-Control-Allow-Origin: http://localhost:3000 或者为了简单起见: Access-Control-Allow-Origin: * Since they are running on differ ... -
Access-Control-Allow-Origin不允许Origin null(Origin null is not allowed by Access-Control-Allow-Origin)[2022-04-05]
Origin null是本地文件系统,这表明您正在加载通过file:/// URL进行load调用的HTML页面(例如,只需在本地文件浏览器中双击它)。 不同的浏览器采用不同的方法将本地文件应用于同源策略 。 我的猜测是,您正在使用Chrome浏览器。 Chrome将SOP应用于本地文件的规则非常紧迫,因此它不允许甚至从与文档相同的目录加载文件。 歌剧也是如此。 一些其他浏览器(如Firefox)允许对本地文件的访问受限。 但是基本上,使用ajax与本地资源不会跨浏览器工作。 如果您只是在本地测试您将真正部 ... -
为了记录,据我所知,你有两个问题: 您没有将“jsonp”类型说明符传递给$.get ,因此它正在使用普通的XMLHttpRequest。 但是,您的浏览器支持CORS(跨原始资源共享),允许跨域XMLHttpRequest服务器确定它。 这就是Access-Control-Allow-Origin标题所在。 我相信你提到你从一个文件:// URL运行它。 CORS标头有两种方式来表示跨域XHR可以。 一个是发送Access-Control-Allow-Origin: * (如果你通过$.get来到Flic ...
-
Access-Control-Allow-Origin html5不允许使用null(Origin null is not allowed by Access-Control-Allow-Origin html5)[2022-05-06]
如果看到很多人遇到过这个问题。 Google显然不允许您使用服务器连接将API用于地图。 对于那些只希望使用谷歌地图API检索地点信息的人,谷歌提供的JSON代替谷歌地图API,我推荐使用FourSquare的API,这允许跨平台查询,谷歌地图显然没有。 因此,对于解决方案,您可以使用上面的代码,但用以下代码替换var url的内容: https://api.foursquare.com/v2/venues/search?ll=40.7,-74&radius=10&oauth_token=YOURKEY&v ... -
您是否直接打开HTML文件? 该文件需要放在Web服务器上然后执行。 通常,出于安全原因,浏览器不允许使用file:///协议进行AJAX调用。 Are you directly opening an HTML file? The file needs to be placed on a web server then executed. Normally browsers don't allow file:/// protocol for AJAX calls for security reasons.
-
Origin null is not allowed by Access-Control-Allow-Origin ,这意味着您尝试在本地文件上执行Ajax。 出于安全原因,这是禁止的。 即使不是这种情况,您的PHP也无法运行,因为Web服务器支持PHP,而不是Web浏览器。 您已安装Web服务器。 您必须通过服务器请求您的页面,而不是直接从您的文件系统访问它们。 使用以http://localhost/开头的URL 您需要移动文件,使它们位于服务器的DocumentRoot (或重新配置服务器,以便它可以 ...
-
我终于能够解决我的问题。 问题出在我的页面和我的服务器之间的通信中。 CORS块由浏览器强加,服务器需要发送一个授权访问的头(我在问题中放入函数的头)。 我缺少的是OPTION方法中的头文件。 我的JavaScript代码在实际的GET或POST方法之前自动发送和OPTIONS请求( preflight request )。 我所做的是在服务器中手动实现OPTIONS方法,该方法响应必要的头文件。 I was finally able to solve my problem. The problem was ...
-
Access-Control-Allow-Origin不允许使用Origin url(Origin url is not allowed by Access-Control-Allow-Origin)[2022-06-06]
由于您发送的内容类型为application/json的请求,因此客户端被迫执行CORS飞行前请求。 CORS规范说,除application/x-www-form-urlencoded , multipart/form-data或text/plain之外的任何内容类型都需要飞行前请求来确定是否允许标头。 因此,您需要处理飞行前请求(HTTP方法= OPTIONS )。 为简单起见,让服务器使用标头进行响应: Access-Control-Allow-Headers: * 这将允许所有请求标头。 UPDA ...