Estoy tratando de imaginar un entorno seguro de espacio aislado para una aplicación que es grande e inexplorada, y puede contener puertas traseras. Viviría en un entorno chroot / virtual sin conexiones salientes habilitadas, y todas las conexiones entrantes provendrán del frontend SSL local utilizando un certificado de cliente autofirmado y una CA (directiva RequireSSL de Apache).
Entonces, nadie podrá conectarse a la aplicación y robar sus datos a través de alguna puerta trasera. Sin embargo, me pregunto si el lado del cliente de la aplicación es técnicamente capaz de realizar solicitudes entre sitios a través del navegador.
¿Puede una página abierta en un contexto SSL hecho por sí mismo permitir que uno de sus elementos de javascript se conecte a otro servidor sin emitir una advertencia visible?