找回密码
 立即注册
搜索
查看: 1635|回复: 6

[网络] chrome94版本CORS跨域问题之后影响http非s下的jsdelivr免费CDN

[复制链接]
     
发表于 2022-2-9 15:07 | 显示全部楼层 |阅读模式
本帖最后由 董卓 于 2022-2-9 15:59 编辑

在静态站上引用大资源/定期更新资源,使用jsdelivr 自动CDN的github资源,进行静态博客更新等,是一种常见的静态站点玩法。

在Chrome94版本更新之后,不在允许在HTTP域下请求HTTPS资源,会报错:
the request client is not a secure context and the resource is in more-private address space `local`
jsdelivr会对http请求自动升级到https。

当然我们也知道,这可以通过改动浏览器chrome://flags的配置Block insecure private network requests解决
但你没办法要求所有小白用户都去做chrome://flags设置。

又当你博客站点没https证书的时候,通过jsdelivr CDN的github资源就全都报错了……

得去搞证书搞实名认证,这就不好玩了呀


ps.
好像是chromebug
https://bugs.chromium.org/p/chromium/issues/detail?id=1287500
https://github.com/jsdelivr/jsde ... ecomment-1012912236
回复

使用道具 举报

     
发表于 2022-2-9 15:14 | 显示全部楼层
TLS 证书不必实名认证吧?
至少 Let's Encrypt 肯定不用
回复

使用道具 举报

     
发表于 2022-2-9 15:23 | 显示全部楼层
jsdelivr CDN不是已经被玩坏了吗
回复

使用道具 举报

     
 楼主| 发表于 2022-2-9 15:34 | 显示全部楼层
本帖最后由 董卓 于 2022-2-9 16:21 编辑
5long 发表于 2022-2-9 15:14
TLS 证书不必实名认证吧?
至少 Let's Encrypt 肯定不用

这个的前提是你的静态资源托管站要支持ACME啊……
不支持ACME怎么玩
好吧,好像可以搞dns的DNS-01 challenge
回复

使用道具 举报

     
 楼主| 发表于 2022-2-9 16:46 | 显示全部楼层
确定是chrome bug
在96复现
升级到98最新版本后问题消失。

Issue 1287500: 307 Redirect after HSTS in response header fails due to missing CORP header
回复

使用道具 举报

     
发表于 2022-2-9 19:11 来自手机 | 显示全部楼层
这么容易复现的问题居然也能发布,我怀疑是故意的

—— 来自 Xiaomi Redmi K30 5G, Android 11上的 S1Next-鹅版 v2.5.2
回复

使用道具 举报

     
发表于 2022-2-10 08:57 来自手机 | 显示全部楼层
用 DNS API 申请不用管啊…

我拿了一台 Oracle 专门申请证书,再分发到国内外各自域名的机器上

—— 来自 Google Pixel 5, Android 12上的 S1Next-鹅版 v2.5.2-play
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|上海互联网违法和不良信息举报中心|网上有害信息举报专区|962110 反电信诈骗|举报电话 021-62035905|Stage1st ( 沪ICP备13020230号-1|沪公网安备 31010702007642号 )

GMT+8, 2024-11-12 03:34 , Processed in 0.078473 second(s), 5 queries , Gzip On, Redis On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表