Tôi có một trang trên trang web có chứa biểu mẫu bảo mật bên trong khung nội tuyến. Mặc dù dữ liệu biểu mẫu được gửi là an toàn nhưng trang không xuất hiện an toàn vì URL trong trình duyệt chỉ là HTTP. Tôi có thể làm gì để hiển thị cho người dùng rằng biểu mẫu được an toàn không?Cách tạo trang có khung nội tuyến HTTPS xuất hiện an toàn
Trả lời
Mở biểu mẫu trong cửa sổ mới hoặc lưu trữ trang vùng chứa trên máy chủ bảo mật. Người dùng có quyền hoài nghi về một trang không an toàn đang lưu trữ một trang được cho là an toàn - nó thực tế là cầu xin cho các cuộc tấn công XSS.
Không có gì kích hoạt trình duyệt thông thường "Đây là bảo mật" chỉ báo.
Mặc dù các dữ liệu hình thức nộp là an toàn
Nó có thể hoặc có thể không được mã hóa. Nhưng an toàn là không phải là và trình duyệt hoàn toàn chính xác để từ chối bạn một biểu tượng khóa móc.
Nếu trang gốc là http
, thì trang đó có thể dễ dàng bị thay đổi bởi cuộc tấn công trung gian để chỉ máy chủ hoàn toàn khác an toàn đến máy chủ hoàn toàn khác với máy chủ dự kiến. Hoặc, trang gốc có thể đã có JavaScript được chèn vào nó để ghi lại bất kỳ bấm phím nào bạn tạo vào biểu mẫu và gửi chúng đến máy chủ của kẻ tấn công.
Người dùng sẽ không có cách nào kiểm tra xem điều này có xảy ra hay không, ít xem nguồn trang và đọc và hiểu mọi dòng đánh dấu và tập lệnh bên trong. Điều này hoàn toàn không thực tế.
Nếu bạn không ở trên trang nơi tất cả nội dung được bảo mật theo https
, mọi nội dung gửi từ trang đó không an toàn, bất kể nơi biểu mẫu action
được chỉ định.
Cho dù trang chủ có được bảo mật hay không, việc đặt các trang được bảo mật https trong iframe không phải là một ý tưởng hay. Ngay cả các trang https không phải là bất khả xâm phạm đối với các cuộc tấn công xss và MIM. Cách duy nhất để tránh bất kỳ sự nhầm lẫn nào đối với tên miền/máy chủ web mà trình duyệt web của bạn đang nói đến là truy cập trực tiếp vào trang nguồn - tức là trang bạn đang cố gắng đặt bên trong khung nội tuyến của mình.
Iframe là một cách thuận tiện để nhanh chóng đưa nội dung từ trang/trang web khác, nhưng chúng mở ra một loạt các cơ hội cho không trung thực!
Chúng tôi phải thực sự hỗ trợ điều này từ iframe của bên thứ ba (đó là cách duy nhất họ cung cấp tích hợp ngay bây giờ.) Bạn hoàn toàn đúng. Các cuộc tấn công XSS được đề cập có thể làm việc bất kể bảo mật trang mẹ (https hoặc http.) Tất cả những gì nó cần là tiêm (cho dù liên kết chuyển hướng đến một trang lừa đảo, v.v.) ít nhất (trang mẹ có SSL). Chúng tôi buộc phải tạo ảo ảnh về an ninh đầu cuối. Nhưng sau đó một lần nữa, ngay cả một trang SSL mà không có một khung nội tuyến chỉ là dễ bị tổn thương. Điểm mấu chốt: trang mẹ w/SSL + không có sự tiêm thô. – Bretticus
- 1. Trang Silverlight tải nội dung không an toàn từ Microsoft
- 2. Cách thực hiện thanh toán an toàn 3d an toàn
- 3. chuyển hướng đến nội dung không an toàn (http) từ an toàn (https)
- 4. Làm cách nào để tạo các trang php/html an toàn/https?
- 5. Miền an toàn (HTTPS) có cần thiết hoàn toàn cho trang đăng nhập không?
- 6. Cung cấp các trang Django an toàn với HTTPS
- 7. IFRAME an toàn được lồng trên trang không an toàn
- 8. Bộ chọn khung nội tuyến khung nội tuyến jquery
- 9. Spring có xuất bản đậu theo cách an toàn không?
- 10. Thực hiện HTML5/Javascript Trong An iFrame An toàn
- 11. khung nội tuyến ContentWindow
- 12. gửi biểu mẫu trong khung nội tuyến và chuyển hướng toàn bộ trang
- 13. Khung nội tuyến HTML và javascript
- 14. Trang Github sẽ không tải trong khung nội tuyến
- 15. Cách nhận nội dung WHOLE của khung nội tuyến?
- 16. Thẻ khung nội tuyến trong thành phần cung cấp trang không đầy đủ khi xuất bản
- 17. Khung nội tuyến SSL được nhúng trên trang web khác
- 18. Cách lấy scrollTop của khung nội tuyến
- 19. JavaScript không an toàn để truy cập khung bằng URL
- 20. Cạo nội dung trang web Với Đăng nhập An toàn
- 21. Trang web sử dụng SSL, nhưng Google Chrome đã phát hiện thấy nội dung không an toàn trên trang
- 22. Đóng khung một cách duyên dáng khung (thanh công cụ) xung quanh khung nội tuyến
- 23. Vấn đề Kích thước khung nội tuyến trong ứng dụng khung nội tuyến Facebook
- 24. Chạy Google Analytics trong khung nội tuyến?
- 25. Kéo dài khung nội tuyến trong HTML5
- 26. Kích thước khung nội tuyến fancybox
- 27. Youtube Iframe trên trang web HTTPS
- 28. Javascript và jQuery không an toàn qua https
- 29. Tuyến đường an toàn và Django
- 30. Nút tải lại khung nội tuyến
Tôi đã trả lời bằng một số cách duy nhất để thực hiện việc này tại đây: http://stackoverflow.com/questions/18327314/how-to-allow-http-content-within-an-iframe-on-a-https-site/25189561 # 25189561 –