Tôi có một trang trên trang web có chứa biểu mẫu bảo mật bên trong khung nội tuyến. Mặc dù dữ liệu biểu mẫu được gửi là an toàn nhưng trang không xuất hiện an toàn vì URL trong trình duyệt chỉ là HTTP. Tôi có thể làm gì để hiển thị cho người dùng rằng biểu mẫu được an toàn không?Cách tạo trang có khung nội tuyến HTTPS xuất hiện an toàn
Mở biểu mẫu trong cửa sổ mới hoặc lưu trữ trang vùng chứa trên máy chủ bảo mật. Người dùng có quyền hoài nghi về một trang không an toàn đang lưu trữ một trang được cho là an toàn - nó thực tế là cầu xin cho các cuộc tấn công XSS.
Không có gì kích hoạt trình duyệt thông thường "Đây là bảo mật" chỉ báo.
Mặc dù các dữ liệu hình thức nộp là an toàn
Nó có thể hoặc có thể không được mã hóa. Nhưng an toàn là không phải là và trình duyệt hoàn toàn chính xác để từ chối bạn một biểu tượng khóa móc.
Nếu trang gốc là http, thì trang đó có thể dễ dàng bị thay đổi bởi cuộc tấn công trung gian để chỉ máy chủ hoàn toàn khác an toàn đến máy chủ hoàn toàn khác với máy chủ dự kiến. Hoặc, trang gốc có thể đã có JavaScript được chèn vào nó để ghi lại bất kỳ bấm phím nào bạn tạo vào biểu mẫu và gửi chúng đến máy chủ của kẻ tấn công.
Người dùng sẽ không có cách nào kiểm tra xem điều này có xảy ra hay không, ít xem nguồn trang và đọc và hiểu mọi dòng đánh dấu và tập lệnh bên trong. Điều này hoàn toàn không thực tế.
Nếu bạn không ở trên trang nơi tất cả nội dung được bảo mật theo https, mọi nội dung gửi từ trang đó không an toàn, bất kể nơi biểu mẫu action được chỉ định.
Cho dù trang chủ có được bảo mật hay không, việc đặt các trang được bảo mật https trong iframe không phải là một ý tưởng hay. Ngay cả các trang https không phải là bất khả xâm phạm đối với các cuộc tấn công xss và MIM. Cách duy nhất để tránh bất kỳ sự nhầm lẫn nào đối với tên miền/máy chủ web mà trình duyệt web của bạn đang nói đến là truy cập trực tiếp vào trang nguồn - tức là trang bạn đang cố gắng đặt bên trong khung nội tuyến của mình.
Iframe là một cách thuận tiện để nhanh chóng đưa nội dung từ trang/trang web khác, nhưng chúng mở ra một loạt các cơ hội cho không trung thực!
Chúng tôi phải thực sự hỗ trợ điều này từ iframe của bên thứ ba (đó là cách duy nhất họ cung cấp tích hợp ngay bây giờ.) Bạn hoàn toàn đúng. Các cuộc tấn công XSS được đề cập có thể làm việc bất kể bảo mật trang mẹ (https hoặc http.) Tất cả những gì nó cần là tiêm (cho dù liên kết chuyển hướng đến một trang lừa đảo, v.v.) ít nhất (trang mẹ có SSL). Chúng tôi buộc phải tạo ảo ảnh về an ninh đầu cuối. Nhưng sau đó một lần nữa, ngay cả một trang SSL mà không có một khung nội tuyến chỉ là dễ bị tổn thương. Điểm mấu chốt: trang mẹ w/SSL + không có sự tiêm thô. – Bretticus
Tôi đã trả lời bằng một số cách duy nhất để thực hiện việc này tại đây: http://stackoverflow.com/questions/18327314/how-to-allow-http-content-within-an-iframe-on-a-https-site/25189561 # 25189561 –