Определите, произошел ли сбой вызова ajax из-за небезопасного ответа или соединения отказано

Question

Определите, произошел ли сбой вызова ajax из-за небезопасного ответа или соединения отказано

111

Я проводил много исследований и не мог найти способ справиться с этим. Я пытаюсь выполнить jQuery ajax-вызов с https-сервера на сервер https locahost, работающий на причале, с пользовательским самозаверяющим сертификатом. Моя проблема заключается в том, что я не могу определить, является ли ответ отрицательным соединением или небезопасным ответом (из-за отсутствия подтверждения сертификата). Есть ли способ определить разницу между обоими сценариями? responseText и statusCode всегда одинаковы в обоих случаях, хотя в консоли хром я вижу разницу:

net::ERR_INSECURE_RESPONSE
net::ERR_CONNECTION_REFUSED

responseText всегда ", а statusCode всегда" 0" для обоих случаев.

Мой вопрос в том, как я могу определить, не вызвал ли вызов jQuery ajax из-за ERR_INSECURE_RESPONSE или из-за ERR_CONNECTION_REFUSED?

Как только сертификат принят, все работает нормально, но я хочу знать, выключен ли сервер localhost или его запуск, но сертификат еще не принят.

$.ajax({
    type: 'GET',
    url: "https://localhost/custom/server/",
    dataType: "json",
    async: true,
    success: function (response) {
        //do something
    },
    error: function (xhr, textStatus, errorThrown) {
        console.log(xhr, textStatus, errorThrown); //always the same for refused and insecure responses.
    }
});

Даже выполняя вручную запрос, я получаю тот же результат:

var request = new XMLHttpRequest();
request.open('GET', "https://localhost/custom/server/", true);
request.onload = function () {
    console.log(request.responseText);
};
request.onerror = function () {
    console.log(request.responseText);
};
request.send();

taxicala 25 июнь 2015, в 20:36

Источник

6

я опубликую свой код, но это не ошибка кода JavaScript. Пожалуйста, внимательно прочитайте мой вопрос.
taxicala 25 июнь 2015, в 19:10
1

Дают ли другие два аргумента обратного вызова ошибки какое-либо дополнительное понимание? function (xhr, status, msg) {... Я сомневаюсь, что они будут, но стоит попробовать.
Kevin B 25 июнь 2015, в 19:16
0

Вы получаете разные коды ошибок в другом браузере? Это может быть сгенерировано и заблокировано Chrome.
Jasen 25 июнь 2015, в 19:19
0

все параметры в обратном вызове ошибки всегда одинаковы
taxicala 25 июнь 2015, в 19:21
0

все браузеры дают мне одинаковые ответы. Я сбит с толку по этому поводу.
taxicala 25 июнь 2015, в 19:23
2

Нет. С сервера на другой сервер. Сервер Jetty (запущенный в locahost) правильно установил заголовки CORS, потому что, как только я принимаю сертификат, все работает как положено. Я хочу определить, должен ли сертификат быть принят или причал не работает.
taxicala 25 июнь 2015, в 19:33
5

Вполне возможно, что отсутствие информации из браузера является полностью преднамеренным. Просто «ошибка» предоставит некоторый объем информации предполагаемому хакеру, например. «Эта система имеет что - то прослушивает порт и т.д.»
Katana314 25 июнь 2015, в 20:34
0

Можете ли вы получить доступ к ресурсу по указанному URL из браузера? Обычно код состояния 0 возникает при межсайтовом скриптинге (когда доступ запрещен) или при запросе недоступного URL-адреса (опечатка, проблемы с DNS и т. Д.). Может быть, посмотрите на это
sandeep s 30 июнь 2015, в 17:56
0

Да, у меня есть доступ к ресурсу по URL, нажатие на него из моего браузера работает нормально, и я получаю экран, на котором вы должны принять сертификат.
taxicala 30 июнь 2015, в 18:18
0

Вы просматривали все заголовки ответа сервера через функцию XMLHttpRequest.getAllResponseHeaders() в заголовках может быть что-то, что может помочь.
Blindman67 06 июль 2015, в 07:18
0

@ Blindman67 Я попробовал это. К сожалению, тот же результат.
taxicala 06 июль 2015, в 13:44
0

Почему вы пытаетесь сделать это в браузере? Почему бы не сделать это на стороне сервера, где у вас есть доступ к более подробной информации об ошибках?
gilly3 21 июль 2015, в 23:25
1

это не то, что я хочу, это то, что мне нужно по дизайну и характеру того, что я разрабатываю. сторона сервера не вариант.
taxicala 21 июль 2015, в 23:47

Показать ещё 11 комментариев

Теги:

javascript

jquery

ajax

https

cors

6 ответов

29

На данный момент: Невозможно отличить это событие от браузеров. Поскольку браузеры не предоставляют для разработчиков доступ к событиям. (июль 2015 г.)

Этот ответ просто направлен на то, чтобы представить идеи для потенциального, халкового и неполного решения.

Отказ от ответственности: этот ответ является неполным, так как он не полностью решает проблемы OP (из-за политики перекрестного происхождения). Однако сама идея имеет некоторые достоинства, которые далее расширяются: @artur grzesiak здесь, используя прокси-сервер и ajax.

После небольшого исследования, похоже, не существует какой-либо формы проверки ошибок для разницы между отключенным соединением и небезопасным ответом, по крайней мере, до того, как javascript предоставляет ответ на разницу между ними.

Общий консенсус моего исследования заключается в том, что SSL-сертификаты обрабатываются браузером, поэтому до тех пор, пока пользовательский сертификат не будет принят пользователем, браузер блокирует все запросы, в том числе для кода состояния. Браузер мог (если был закодирован) отправить обратно свой код состояния для небезопасного ответа, но это ничего не помогает, и даже тогда у вас будут проблемы с совместимостью браузера (хром/firefox/IE, имеющие разные стандарты... еще раз)

Поскольку ваш первоначальный вопрос заключался в проверке статуса вашего сервера между тем, что он был против того, что у вас есть неприемлемый сертификат, не мог ли вы сделать стандартный HTTP-запрос таким образом?

isUp = false;
isAccepted = false;

var isUpRequest = new XMLHttpRequest();
isUpRequest.open('GET', "http://localhost/custom/server/", true); //note non-ssl port
isUpRequest.onload = function() {
    isUp = true;
    var isAcceptedRequest = new XMLHttpRequest();
    isAcceptedRequest.open('GET', "https://localhost/custom/server/", true); //note ssl port
    isAcceptedRequest.onload = function() {
        console.log("Server is up and certificate accepted");
        isAccepted = true;
    }
    isAcceptedRequest.onerror = function() {
        console.log("Server is up and certificate is not accepted");
    }
    isAcceptedRequest.send();
};
isUpRequest.onerror = function() {
    console.log("Server is down");
};
isUpRequest.send();

Конечно, для этого требуется дополнительный запрос для проверки возможности подключения к серверу, но он должен выполнить работу по процессу устранения. Тем не менее, он все еще чувствует себя взломанным, и я не являюсь большим поклонником удвоенного запроса.

acupajoe 30 июнь 2015, в 22:10

7

Я прочитал весь ответ, и я не совсем думаю, что это сработает. Оба моих сервера работают по протоколу HTTPS. Это означает, что в тот момент, когда я запускаю запрос к HTTP-серверу, браузер немедленно отменит его, поскольку вы не можете отправлять запросы ajax с HTTPS-сервера на HTTP-сервер.
taxicala 30 июнь 2015, в 21:01

10

Ответ на

@Schultzie довольно близок, но ясно, что http - вообще - не будет работать с https в среде браузера.

Однако вы можете использовать промежуточный сервер (прокси), чтобы выполнить запрос от вашего имени. Прокси-сервер должен либо пересылать запрос http из источника https, либо загружать контент из самозаверяющего источника.

Наличие собственного сервера с надлежащим сертификатом, вероятно, является излишним в вашем случае - поскольку вы можете использовать этот параметр вместо машины с самозаверяющим сертификатом, но там есть много анонимных открытых прокси-сервисов.

Итак, мне приходят два подхода:

ajax-запрос - в этом случае прокси должен использовать соответствующие настройки CORS
использование iframe - вы загружаете script (возможно, завернутый в html) внутри iframe через прокси. После загрузки script он отправляет сообщение своему .parentWindow. Если ваше окно получило сообщение, вы можете быть уверены, что сервер работает (или, точнее, выполнял долю секунды раньше).

Если вас интересует только ваша локальная среда, вы можете попробовать запустить хром с флагом --disable-web-security.

Другое предложение: вы пытались загрузить изображение программно, чтобы узнать, есть ли там дополнительная информация?

artur grzesiak 12 июль 2015, в 09:16

2

Отъезд jQuery.ajaxError() Взято с: jQuery Обработка ошибок AJAX (коды состояния HTTP) Он ловит глобальные ошибки Ajax, которые вы можете обрабатывать любыми способами через HTTP или HTTPS:

if (jqXHR.status == 501) {
//insecure response
} else if (jqXHR.status == 102) {
//connection refused
}

Varshaan 13 июль 2015, в 08:08

0

Это то же самое, что делать ajax так, как я это делаю, но централизовать ответы об ошибках в одном месте.
taxicala 13 июль 2015, в 13:03
1

Дело в том, что сертификат не загружается при вызове ajax, так как кажется, что это проблема. Любой способ оч с поиском ответов :)
Varshaan 15 июль 2015, в 04:45
2

Нет, проблема в том, что я хочу определить разницу между принятием сертификата и знанием, выключен ли сервер.
taxicala 15 июль 2015, в 14:39
1

И когда в соединении отказано и сертификат не является доверенным, я получаю тот же jqXHR.status = 0 (и jqXHR.readyState = 0), а не qXHR.status == 102 или 501, как описано в этом ответе.
anre 22 фев. 2017, в 19:02

Показать ещё 2 комментария

1

Я не думаю, что в настоящее время существует способ обнаружения этих сообщений об ошибках, но взлом, который вы можете сделать, - это использовать сервер, такой как nginx, перед вашим сервером приложений, чтобы, если сервер приложений не работает, вы будете получить ошибку "плохого шлюза" от nginx с кодом статуса 502, который вы можете обнаружить в JS. В противном случае, если сертификат недействителен, вы все равно получите такую же общую ошибку с statusCode = 0.

Gaafar 10 сен. 2017, в 21:29

0

К сожалению, современный браузер XHR API не дает явного указания, когда браузер отказывается подключиться из-за "небезопасного ответа", а также когда он не доверяет сертификату HTTP/SSL веб-сайта.

Но есть способы обойти эту проблему.

Одно из решений, которое я придумал, чтобы определить, когда браузер не доверяет сертификату HTTP/SSL, должен сначала определить, произошла ли ошибка XHR (например, с помощью обратного вызова jQuery error()), а затем проверить, не является ли XHR вызов является URL-адресом "https://", а затем проверьте, является ли XHR readyState равным 0, а это значит, что соединение XHR даже не было открыто (что происходит, когда браузер не любит сертификат).

Вот код, где я это делаю: https://github.com/maratbn/RainbowPayPress/blob/e9e9472a36ced747a0f9e5ca9fa7d96959aeaf8a/rainbowpaypress/js/le_requirejs/public/model_info__transaction_details.js#L88

maratbn 06 март 2017, в 06:35

Ещё вопросы

я опубликую свой код, но это не ошибка кода JavaScript. Пожалуйста, внимательно прочитайте мой вопрос.
Дают ли другие два аргумента обратного вызова ошибки какое-либо дополнительное понимание? function (xhr, status, msg) {... Я сомневаюсь, что они будут, но стоит попробовать.
Вы получаете разные коды ошибок в другом браузере? Это может быть сгенерировано и заблокировано Chrome.
все параметры в обратном вызове ошибки всегда одинаковы
все браузеры дают мне одинаковые ответы. Я сбит с толку по этому поводу.
Нет. С сервера на другой сервер. Сервер Jetty (запущенный в locahost) правильно установил заголовки CORS, потому что, как только я принимаю сертификат, все работает как положено. Я хочу определить, должен ли сертификат быть принят или причал не работает.
Вполне возможно, что отсутствие информации из браузера является полностью преднамеренным. Просто «ошибка» предоставит некоторый объем информации предполагаемому хакеру, например. «Эта система имеет что - то прослушивает порт и т.д.»
Можете ли вы получить доступ к ресурсу по указанному URL из браузера? Обычно код состояния 0 возникает при межсайтовом скриптинге (когда доступ запрещен) или при запросе недоступного URL-адреса (опечатка, проблемы с DNS и т. Д.). Может быть, посмотрите на это
Да, у меня есть доступ к ресурсу по URL, нажатие на него из моего браузера работает нормально, и я получаю экран, на котором вы должны принять сертификат.
Вы просматривали все заголовки ответа сервера через функцию XMLHttpRequest.getAllResponseHeaders() в заголовках может быть что-то, что может помочь.
@ Blindman67 Я попробовал это. К сожалению, тот же результат.
Почему вы пытаетесь сделать это в браузере? Почему бы не сделать это на стороне сервера, где у вас есть доступ к более подробной информации об ошибках?
это не то, что я хочу, это то, что мне нужно по дизайну и характеру того, что я разрабатываю. сторона сервера не вариант.
Я прочитал весь ответ, и я не совсем думаю, что это сработает. Оба моих сервера работают по протоколу HTTPS. Это означает, что в тот момент, когда я запускаю запрос к HTTP-серверу, браузер немедленно отменит его, поскольку вы не можете отправлять запросы ajax с HTTPS-сервера на HTTP-сервер.
Это то же самое, что делать ajax так, как я это делаю, но централизовать ответы об ошибках в одном месте.
Дело в том, что сертификат не загружается при вызове ajax, так как кажется, что это проблема. Любой способ оч с поиском ответов :)
Нет, проблема в том, что я хочу определить разницу между принятием сертификата и знанием, выключен ли сервер.
И когда в соединении отказано и сертификат не является доверенным, я получаю тот же jqXHR.status = 0 (и jqXHR.readyState = 0), а не qXHR.status == 102 или 501, как описано в этом ответе.

ecarrizo · Accepted Answer · 2015-07-14T23-18-00.000Z

Невозможно отличить его от новейших веб-браузеров.

Спецификация W3C:

Описанные ниже шаги описывают, какие пользовательские агенты должны выполнять для простого запроса на перекрестный поиск:

Примените шаги make request и соблюдайте правила запроса ниже при оформлении запроса.

Если флаг перенаправления вручную отключен и ответ имеет код состояния HTTP из 301, 302, 303, 307 или 308Примените шаги перенаправления.

Если конечный пользователь отменяет запросПримените шаги отмены.

Если есть сетевая ошибкаВ случае ошибок DNS, сбоев согласования TLS или других типов сетевых ошибок применяйте шаги сетевой ошибки . Не запрашивайте никакого взаимодействия с конечным пользователем.

Примечание. Это не включает HTTP-ответы, которые указывают на некоторый тип ошибки, такой как код состояния HTTP 410.

В противном случаеВыполните проверку доступа к ресурсам. Если он возвращается с ошибкой, примените шаги сетевой ошибки. В противном случае, если он возвращает pass, завершите этот алгоритм и установите статус запроса перекрестного происхождения к успеху. На самом деле не завершайте запрос.

Как вы можете прочитать, сетевые ошибки не включают HTTP-ответ, который включает в себя ошибки, поэтому вы всегда будете 0 в качестве кода состояния и "" как ошибка.

Источник

Примечание. Следующие примеры были сделаны с использованием Google Chrome версии 43.0.2357.130 и для среды, которую я создал для эмуляции OP one. Код в настройке находится внизу ответа.

Я, хотя этот подход. Чтобы обойти это, вы делаете вторичный запрос через HTTP вместо HTTPS как Этот ответ, но я помню, что это невозможно из-за что более новые версии браузеров блокируют смешанный контент.

Это означает, что веб-браузер не будет разрешать запрос через HTTP, если вы используете HTTPS и наоборот.

Это было так, как несколько лет назад, но более старые версии веб-браузера, такие как Mozilla Firefox, под ним версии 23 позволяют.

Данные об этом:

Выполнение HTTP-запроса с помощью консоли HTTPS usring Web Broser

var request = new XMLHttpRequest();
request.open('GET', "http://localhost:8001", true);
request.onload = function () {
    console.log(request.responseText);
};
request.onerror = function () {
    console.log(request.responseText);
};
request.send();

приведет к следующей ошибке:

Смешанный контент: страница в https://localhost:8000/ 'была загружена через HTTPS, но запросила небезопасную конечную точку XMLHttpRequest' http://localhost:8001/ '. Этот запрос заблокирован; содержимое должно быть передано через HTTPS.

Такая же ошибка появится в консоли браузера, если вы попытаетесь сделать это другими способами как добавление iframe.

<iframe src="http://localhost:8001"></iframe>

Использование соединения Socket также было Отправлено как ответ, я был уверен, что результат будет таким же/похожим, но я даю ему попробовать.

Попытка открыть сокет-соединение из веб-браузера с использованием HTTPS на конечную точку не защищенного сокета закончится ошибками смешанного содержимого.

new WebSocket("ws://localhost:8001", "protocolOne");

1) Смешанное содержимое: страница в https://localhost:8000/ 'была загружена через HTTPS, но попыталась подключиться к небезопасной конечной точке WebSocket' WS://локальный: 8001/. Этот запрос заблокирован; эта конечная точка должна быть доступна через WSS.

2) Uncaught DOMException: Не удалось создать "WebSocket": небезопасное соединение WebSocket не может быть инициировано на странице, загруженной через HTTPS.

Затем я попытался подключиться к конечной точке wss тоже. Если бы я мог прочитать некоторую информацию о ошибках сетевого подключения:

var exampleSocket = new WebSocket("wss://localhost:8001", "protocolOne");
exampleSocket.onerror = function(e) {
    console.log(e);
}

Выполнение фрагмента выше с выключенным сервером приводит к:

Соединение с WebSocket с 'wss://localhost: 8001/' не выполнено: ошибка в установлении соединения: net:: ERR_CONNECTION_REFUSED

Выполнение фрагмента выше с включенным сервером

Соединение с WebSocket с 'wss://localhost: 8001/' не выполнено: сообщение об открытии WebSocket было отменено

Но опять-таки ошибка, которую выводит на консоль функция "onerror", не имеет подсказки, чтобы отличать одну ошибку от другой.

Использование прокси-сервера в качестве этого ответа может работать, но только если "целевой" сервер имеет открытый доступ.

Здесь не так, поэтому попытка реализовать прокси в этом сценарии приведет нас к той же проблеме.

Код для создания сервера Node.js HTTPS:

Я создал два сервера Nodejs HTTPS, которые используют самоподписанные сертификаты:

targetServer.js:

var https = require('https');
var fs = require('fs');

var options = {
    key: fs.readFileSync('./certs2/key.pem'),
    cert: fs.readFileSync('./certs2/key-cert.pem')
};

https.createServer(options, function (req, res) {
    res.setHeader('Access-Control-Allow-Origin', '*');
    res.setHeader('Access-Control-Allow-Methods', 'GET,PUT,POST,DELETE');
    res.setHeader('Access-Control-Allow-Headers', 'Content-Type');
    res.writeHead(200);
    res.end("hello world\n");
}).listen(8001);

applicationServer.js:

var https = require('https');
var fs = require('fs');

var options = {
    key: fs.readFileSync('./certs/key.pem'),
    cert: fs.readFileSync('./certs/key-cert.pem')
};

https.createServer(options, function (req, res) {
    res.writeHead(200);
    res.end("hello world\n");
}).listen(8000);

Чтобы сделать его работу, вам необходимо установить Nodejs, необходимо создать отдельные сертификаты для каждого сервера и соответственно сохранить их в сертификатах папок и certs2.

Чтобы запустить его, просто выполните node applicationServer.js и node targetServer.js в терминале (пример ubuntu).

Это самый полный ответ на данный момент. Это показывает, что вы действительно провели некоторую исследовательскую работу и тестирование. Я вижу, вы пытались сделать все возможное, чтобы выполнить это, и все сценарии действительно хорошо объяснены. Вы также предоставили пример кода для быстрой настройки тестовой среды! Действительно хорошая работа! Спасибо за понимание!
Отличный ответ! Однако я хотел бы отметить, что самозаверяющие сертификаты будут по-прежнему создавать ошибки из браузера, если они принадлежат отдельным серверам. @ecarrizo
Если мы говорим об ошибке сети, вероятно, вы можете увидеть ошибки в консоли вручную. но у вас нет доступа к нему из кода в безопасной среде.