Stavo facendo alcune richieste di cross-origine a oEmbed di Soundcloud e ho notato alcuni strani comportamenti. < br> Quando faccio una richiesta dal mio localhost, che è su una normale connessione HTTP, tutto ha funzionato bene. Tuttavia, quando il codice è stato inserito nel nostro server di test HTTPS, ho ricevuto il seguente errore dal mio browser:
[blocked] The page at 'https://example.com' was loaded over HTTPS, but ran insecure content from https://www.soundcloud.com/oembed?url=https://soundcloud.com/gwatsky/pumped-up-kicks-remix&format=js&callback=JSON_CALLBACK: this content should also be loaded over HTTPS.
L'URL della richiesta è //www.soundcloud.com/oembed?url=https://soundcloud.com/gwatsky/pumped-up-kicks-remix&format=js&callback=JSON_CALLBACK
. Nota " www. ".
Ho provato a specificare il protocollo su HTTPS e rimuovere / specificare il protocollo nel parametro url
, ma ho continuato a ricevere l'errore.
Alla fine ho rimosso www.
dall'URL e tutto ha funzionato correttamente.
tl; dr Perché avere www.
in questo URL HTTPS è considerato un rischio per la sicurezza?