Contenu non sécurisé dans un iframe sur la page sécurisée

Je suis dans le processus de développement d'une application pour un client, ce qui va avoir un certificat SSL et d'être servi sous le protocole https. Toutefois, pour les intégrer à leur site existant, ils veulent offrir à leurs navigation à l'intérieur d'une iframe.

Je peux voir ce qui pose problème, comme je l'avais espérer le navigateur pour se plaindre de la combinaison de sécurisé et non sécurisé de contenu sur la page. J'ai eu un coup d'oeil à des questions similaires sur ici et ils ont tous l'air de se référer à ce l'inverse (secure contenu dans l'iframe).

Ce que je voudrais savoir, alors, est: peut-il provoquer des problèmes d'insécurité contenu inclus à l'intérieur d'un iframe, placé sur une page sécurisée , et si oui, quelle sorte de problèmes seraient-ils?

Idéalement, si ce n'est pas une bonne idée (et j'ai un fort sentiment que ce n'est pas le cas) j'ai besoin d'être en mesure d'expliquer au client.

Parlez-vous de l'utilisation de votre page d'accueil, dans la plaine de HTTP et d'incorporation d'un iframe qui utilise le protocole HTTPS?
Non, le contraire - la page principale est HTTPS, l'iframe est clair HTTP. J'ai édité la question de rendre cela plus clair.
Il y a un nombre de questions à propos de ce déjà. Dans le tri, c'est une mauvaise idée, parce que les utilisateurs ne seront pas en mesure de savoir quelle partie de la page est sécurisée et qui ne l'est pas.
Certaines réponses peuvent être trouvées ici: stackoverflow.com/questions/18327314/...

InformationsquelleAutor moogal | 2012-02-14

iframe ssl

26

Si votre page est accessible à l'aide de https://www.example.com/main/index.jsp (SSL) puis votre navigateur va se plaindre avec "Cette page contient à la fois sécurisé et non sécurisé éléments" si il y a des ressources dans le code HTML qui sont référencés avec http:// (non-SSL). Cela inclut les iframes.

Si votre page de navigation est hébergé sur le même serveur, alors vous pouvez empêcher l ' "insécurité" contenu du message à l'aide d'une URL relative comme ça...
```
<iframe src="/app/navigation.jsp" />
```
De votre question, il semble que votre page de navigation est servi à partir d'un autre ordinateur et vous êtes obligé d'utiliser quelque chose comme ceci
```
<iframe src="http://otherserver.example.com/app/navigation.jsp" />
```
qui sera bien entendu fait le "contenu non sécurisé" message dans votre navigateur.

Vos seules solutions sont de
1. mettre en œuvre le protocole SSL sur le serveur de la tenue de votre page de navigation de sorte que vous pouvez utiliser https:// pour votre iframe de référence, ou
2. déplacer l'application de navigation pour le même serveur de sorte que vous pouvez utiliser une URL relative.
Personnellement, je ne vois pas pourquoi votre navigation sur un hôte différent parce que vous allez obtenir le JavaScript de la croix-domaine problèmes de scripts (à moins que certains funky JSONP est impliqué).
- L'intégration avec un tiers, où vous ne pouvez pas exécuter leur code, est un bon exemple de cas où vous auriez besoin d'une meilleure option que cela.
- Ne pas le src="/app/navigation.jsp" approche exiger que le contenu de l'iframe être disponible sous HTTPS? Cependant, conformément à l'OP, l'iframe est dans la plaine HTTP.
- un autre exemple est si vous voulez autoriser les utilisateurs à iframe URL arbitraire de l' . Par exemple sur un site web au design du site.
- KajMagnus est à 100%, si vous utilisez une URL relative à partir d'une page principale chargé de https, puis toutes les Url relatives va utiliser le protocole https trop.
InformationsquelleAutor Brad
41

Si votre page est http puis il permet iframe avec le contenu https.

Mais si votre page est en https, il ne permet pas de contenu http.

Permet de mettre bas les possibilités suivantes.
```
page - iframe - status

http - http  - allowed
http - https - allowed
https- http  - not allowed
https- https - allowed
```
- https https - permis - a confirmé sur sc2vault.com
- https https insécurité scripts - pas autorisés
- https https - inscure images - permis
- Tout simplement parce que nous afficher le nom d'utilisateur que vous êtes sur une page sécurisée, mais ne les transactions de manière non sécurisée. Comme les utilisateurs ne peuvent pas être technique pour comprendre les iframes donc ses navigateurs et les développeurs de travail!
- https https - inscure images - permis, mais le navigateur va avertir
- Intégration d'un site sécurisé à l'intérieur de l'autre (différent) du site peut entraîner cliquez sur jacking attaques c'est pourquoi PCI lignes directrices suggèrent cadre de contournement pour empêcher cette pratique. Ainsi, bien qu'autorisé, à utiliser avec précaution! Intégration d'un site sécurisé, plus précisément à l'intérieur de l'insécurité site ouvre la porte à l'attaque plus large.
- Site vers le bas....
InformationsquelleAutor Amol Ghotankar
-3

Essayez de supprimer le http: des personnages dans l'attribut src de la valeur de la manière suivante:
```
<iframe src="//example.com/thefile.htm"></iframe>
```
C'est bien sûr une solution de contournement, la sécurité est importante afin de ne pas contourner allègrement, mais de toute façon, cette fois, m'a fait passé à un problème similaire.
- cela ne résout pas le problème. il indique simplement le navigateur "aller de l'avant et à l'utilisation quel que soit le protocole utilisé pour accéder à cette page". dans ce cas, c'est l'équivalent de "example.com..." qui ne résout pas le problème de example.com seulement disponible via http
- L'utilisation de cette technique a résolu mon problème à chaque fois sur chaque navigateur lorsque ce type de solution de contournement est nécessaire temporarilly
- Comme @RobertLevy l'a souligné, ce n'est pas "résoudre" le problème. C'est effectivement une bonne pratique et la meilleure façon de l'utiliser juste quel que soit le protocole, le parent est à l'aide. Bien sûr, cela ne fonctionne que si les ressources pertinentes prend également en charge https et http
InformationsquelleAutor Erik

Vous devez vous connecter pour publier un commentaire.