GWT SSL + Jetty + та же политика происхождения = путаница

Question

GWT SSL + Jetty + та же политика происхождения = путаница

Я использую GWT и хочу включить SSL на одной html-странице (модуле). У меня есть несколько модулей, и один такой модуль защищен с помощью следующей конфигурации в моем web.xml

<security-constraint>
  <web-resource-collection>
    <web-resource-name></web-resource-name>
    <url-pattern>/Secure.html</url-pattern>
    <http-method>GET</http-method>
  </web-resource-collection>
  <user-data-constraint>
      <transport-guarantee>CONFIDENTIAL</transport-guarantee>
  </user-data-constraint>
</security-constraint>

У меня есть другой модуль (страница входа в систему), из которого я вызываю Secure.html для передачи информации о входе пользователей через SSL. У меня есть следующие вопросы:

Нарушаю ли я ту же политику происхождения, вызывая модуль Secure.html из http (незащищенная страница входа)?
Как добавить соединитель для SSL во встроенном причале? Я использую плагин GWT Eclipse. Я ненавижу это все же. Когда я пытаюсь получить доступ к защищенной странице Secure.html, я получаю 403 - запрещено в режиме разработки. Я не хочу использовать SSL для всех своих модулей (-server :ssl). Но если я разверну приложение на внешнем сервере Tomcat, оно будет работать нормально.
Я делаю это правильно? Должен ли быть лучший подход, чем этот?

1

gwt embedded-jetty same-origin-policy

Источник

user1226395 22 фев '12 в 17:03

1 ответ

Другие вопросы по тегам gwt embedded-jetty same-origin-policy

user493749 22 фев '12 в 17:22 2012-02-22 17:22 · Answer 1 · 2012-02-22 17:22

1) Вы определенно нарушаете политику одного и того же происхождения, изменяя протокол.

2) Вам не нужно иметь разъем для встроенной Jetty... то, что вы видите, там (и должно быть) идентично тому, что вы видели бы по HTTPS. SSL - это вопрос размещения вашего контента на защищенном сервере. ИМО, это производственная проблема, а не проблема развития.