我们有一个Web应用程序,将使用自签名证书,在安装在服务器上后,浏览器将在 "https://localhost" 打开(不,为了论证,我们不能使用实际的机器名称)。这将生成浏览器错误,因为 "localhost" 不是证书的域。
一种选择是仅在环回(localhost)上通过HTTP公开应用程序。
我们的应用程序应该在传递到服务器外部时进行加密,所以问题是..
是否存在允许在localhost上(仅限localhost)访问我们的应用程序的HTTP访问的安全问题?这会使应用程序暴露给计算机外部的窃听吗?
可以假设如果有人能够访问计算机的本地用户会话,那么我们会有更大的担忧,因此缺少HTTP将是微不足道的。
一种选择是仅在环回(localhost)上通过HTTP公开应用程序。
我们的应用程序应该在传递到服务器外部时进行加密,所以问题是..
是否存在允许在localhost上(仅限localhost)访问我们的应用程序的HTTP访问的安全问题?这会使应用程序暴露给计算机外部的窃听吗?
可以假设如果有人能够访问计算机的本地用户会话,那么我们会有更大的担忧,因此缺少HTTP将是微不足道的。