Contenu mixte, sécurité du contenu et politique et source de hachage

Question

Je souhaite ouvrir un iframe HTTP dans une page HTTPS. Bien sûr, cela n'est normalement pas possible car cela déclenchera une violation de "contenu mixte".

Existe-t-il un moyen de contourner un bloc de contenu mixte en utilisant «Content-Security-Policy» et les sources de hachage?

Exemple:

• http://mysite/my-frame.html a un hachage SHA-256 de sha256-xxxyyy....zzz

• https://mysite/index.html sera servi avec un en-tête Content-Security-Policy comme suit (ou inline une étiquette equivalente <meta>) tant que têtes CORS:

  • Content-Security-Policy: frame-src sha256-xxxxyyyy....zzz

• https://mysite/index.html comprend un <iframe src='http://mysite/my-frame.html'>

Est-ce que ce travail? Existe-t-il une autre méthode pour rendre cela possible?

note: Aucun upgrade-insecure-requests ne fonctionnera pas car la page est une demande de navigation ET la trame doit être desservie à partir de HTTP.

Answer 1

Non, il n'y a aucun moyen de contourner le bloc de sécurité sur les navigateurs modernes (à partir de Firefox 23, Chrome 14, IE9)

Heureusement, la plupart des navigateurs modernes bloquent ce type de contenu dangereux par défaut

ref: https://developers.google.com/web/fundamentals/security/prevent-mixed-content/what-is-mixed-content#mixed-content-types--security-threats-associated