Contenu non sécurisé dans un iframe sur la page sécurisée
Je suis dans le processus de développement d'une application pour un client, ce qui va avoir un certificat SSL et d'être servi sous le protocole https. Toutefois, pour les intégrer à leur site existant, ils veulent offrir à leurs navigation à l'intérieur d'une iframe.
Je peux voir ce qui pose problème, comme je l'avais espérer le navigateur pour se plaindre de la combinaison de sécurisé et non sécurisé de contenu sur la page. J'ai eu un coup d'oeil à des questions similaires sur ici et ils ont tous l'air de se référer à ce l'inverse (secure contenu dans l'iframe).
Ce que je voudrais savoir, alors, est: peut-il provoquer des problèmes d'insécurité contenu inclus à l'intérieur d'un iframe, placé sur une page sécurisée , et si oui, quelle sorte de problèmes seraient-ils?
Idéalement, si ce n'est pas une bonne idée (et j'ai un fort sentiment que ce n'est pas le cas) j'ai besoin d'être en mesure d'expliquer au client.
- Parlez-vous de l'utilisation de votre page d'accueil, dans la plaine de HTTP et d'incorporation d'un iframe qui utilise le protocole HTTPS?
- Non, le contraire - la page principale est HTTPS, l'iframe est clair HTTP. J'ai édité la question de rendre cela plus clair.
- Il y a un nombre de questions à propos de ce déjà. Dans le tri, c'est une mauvaise idée, parce que les utilisateurs ne seront pas en mesure de savoir quelle partie de la page est sécurisée et qui ne l'est pas.
- Certaines réponses peuvent être trouvées ici: stackoverflow.com/questions/18327314/...
Vous devez vous connecter pour publier un commentaire.
Si votre page est accessible à l'aide de
https://www.example.com/main/index.jsp
(SSL) puis votre navigateur va se plaindre avec "Cette page contient à la fois sécurisé et non sécurisé éléments" si il y a des ressources dans le code HTML qui sont référencés avechttp://
(non-SSL). Cela inclut les iframes.Si votre page de navigation est hébergé sur le même serveur, alors vous pouvez empêcher l ' "insécurité" contenu du message à l'aide d'une URL relative comme ça...
De votre question, il semble que votre page de navigation est servi à partir d'un autre ordinateur et vous êtes obligé d'utiliser quelque chose comme ceci
qui sera bien entendu fait le "contenu non sécurisé" message dans votre navigateur.
Vos seules solutions sont de
mettre en œuvre le protocole SSL sur le serveur de la tenue de votre page de navigation de sorte que vous pouvez utiliser
https://
pour votre iframe de référence, oudéplacer l'application de navigation pour le même serveur de sorte que vous pouvez utiliser une URL relative.
Personnellement, je ne vois pas pourquoi votre navigation sur un hôte différent parce que vous allez obtenir le JavaScript de la croix-domaine problèmes de scripts (à moins que certains funky JSONP est impliqué).
src="/app/navigation.jsp"
approche exiger que le contenu de l'iframe être disponible sous HTTPS? Cependant, conformément à l'OP, l'iframe est dans la plaine HTTP.Si votre page est http puis il permet iframe avec le contenu https.
Mais si votre page est en https, il ne permet pas de contenu http.
Permet de mettre bas les possibilités suivantes.
Essayez de supprimer le http: des personnages dans l'attribut src de la valeur de la manière suivante:
C'est bien sûr une solution de contournement, la sécurité est importante afin de ne pas contourner allègrement, mais de toute façon, cette fois, m'a fait passé à un problème similaire.
https
ethttp