Предположим, что страница ниже загружена из https://127.0.100.1
. Страница делает от XMLHttpRequest
до http://127.0.100.2
. Это похоже на смешанное содержание: страница загружается через безопасное соединение, а ресурс загружается через небезопасное соединение. Смешанный контент должен блокироваться браузером. Тем не менее, страница ниже работает просто отлично.* Почему это работает: Почему запрос не блокируется?
Обновление: выходит за рамки принятого ответа, браузеры можно настроить для блокировки смешанного контента для таких адресов.
* Wireshark подтверждает, что браузеры не загружают ресурс через безопасное соединение.
<html>
<body>
<img id="dst"/>
<script>
let xhr = new XMLHttpRequest();
xhr.open('get', 'http://127.0.100.2/img.jpg');
xhr.responseType = 'blob';
xhr.onload = function(){
document.getElementById('dst').src = URL.createObjectURL(xhr.response);
}
xhr.send();
</script>
</body>
</html>