我有一个GET API,它由JS代码段调用,以从浏览器中卸载一些计算。任何实际用户都没有理由直接调用API(如果他们这样做,将违反我们的ToS(。
如果我们将此API称为http请求而不是https,是否存在重大风险?它应该会减少我们的响应时间,但我们不确定这是否对我们或我们的用户来说是一个漏洞。
如果您从HTTPS页面向HTTP API发出XMLHttpRequest或fetch()请求,您将收到混合内容错误
是。你冒着MITM攻击或中间人的风险。有人冒充你的服务器,监视你客户的请求,甚至可能更改它们。