Как делать post и get запросы с https на http?

Question

[kuzubina]

Всем привет!
Использую на клиенте VUE.JS, сайт висит на https домене, сервер на NODEJS и EXPRESSJS на другом хостинге. При запросе с клиента на сервер (использую axios) браузер выдает ошибку такого вида

Mixed Content: The page at 'https://domain.com' was loaded over HTTPS, but requested an insecure XMLHttpRequest endpoint '150.160.60.160:5000/api/login'. This request has been blocked; the content must be served over HTTPS.

Суть проблемы я понимаю, что на сервере не защищенное соединение и браузер блокирует такие запросы.
Как лучше решить эту проблему? какие есть способы?

Answer 1

[Aetae]

Правильное решение: получить и установить таки серитиикат для своего сервера. С lets encript это быстро и бесплатно.

Костыль: поставить на сайте:

<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">

По сути это хак, т.к. основное предназначение этого заголовка - заставить всё работать через https, но если браузер не получает ответа по https порту - он разрешает работу по http.

Comments

[Надим]

Про костыль полезная инфа, не знал.

Answer 2

[Lynn «Кофеман»]

Любым способом настроить https у сервера с нодой.

Например настроить обратный прокси на домене сайта.

Answer 3

[Аня Князева]

Выставлять наружу NodeJS неправильно. Он для этого не предназначен.
Правильная архитектура, это когда все запросы приходят на Nginx, а уже Nginx проксирует их на NodeJS.
В Nginx надо сделать редирект с HTTP на HTTPS принудительный. Тогда все запросы будут зашифрованы.
Можно не изобретать велосипед и не возиться долго с конфигом Nginx. Для организации настройки HTTPS соединения для Nginx есть специальная библиотека которая под капотом все делает - и сертификаты выпускает, и конфиг Nginx правит и сертификаты обновляет автоматически при завершении их строка действия.
Подробнее тут: https://www.nginx.com/blog/using-free-ssltls-certi...

Comments

[kuzubina]

получается мне нужно привязать на этот-же сервер домен для получения сертификата? или по IP тоже смогу получить сертификат? сейчас фронт и бэк на разных серверах и на бэкобращаюсь по IP:Port с локалки работает

[Аня Князева]

Сейчас уточнила у нашего админа. У нас в конторе так все настроено. Админ сказал, что letsencrypt верефицирет доменное имя, поэтому надо, чтобы на сервер можно было ходить через доменное имя. Иначе letsencrypt не сможет выпустить сертификат. Вообще, получить SSL сертификат можно только для доменного имени, насколько я знаю. Иначе что верефицировать!? )
Если только использовать самоподписанные сертификаты. Но самоподписанные мы используем только для целей тестирования и отладки. Для внешнего мира они не подходят по понятным причинам.

[kuzubina]

Аня Князева, Спсаибо, буду что-то думать

Answer 4

[rPman]

без локального https прокси post запросы никак (есть опция командной строки браузера отключающая запрет), с get запросами можно попытаться выкрутиться, например картинки загружаются. Пробуйте грузить данные в script type=text/html

Answer 5

[Надим]

Выше народ советует поставить SSL-сертификат на свой сервак, но на самом деле это не единственное решение. CORS не будет вам никак мешать, если вы отправляйте запрос с http-домена... и это даёт возможность разных обходных манёвров. Просто на заметку, а так все верно выше говорят - правильный вариант это сертификат.

Comments

[lrsvolk]

А причем тут CORS?

[Надим]

lrsvolk, при том, что если сильно хочется, то МОЖНО отправить запрос https домена на http домен не используя никаких прокси. Есть пара костыльных способов.

[kuzubina]

Надим Закиров, а можно узнать что это за костыли?

[Надим]

kuzubina, открывайте заранее подготовленную http-страницу и шлёте запрос через него, используя postMessage. Страницу фоновую при этом можно открывать максимально незаметно:

send_window = window.open("https://qna.habr.com", "partner", "menubar=no,toolbar=no,location=no,status=no,resizable=no,scrollbars=no,top=5000,left=5000,width=100,height=100");

Можно еще с фреймом заморочится, но открыть http-сайт внутри фрейма с https-сайта не так-то просто, да есть лайфхаки, которые это позволяют, но это может и не сработать. Вариант с фоновым окном надёжнее.