J'ai une page sur un site Web qui contient un formulaire sécurisé dans un iframe. Bien que les données de formulaire soumises soient sécurisées, la page ne semble pas sécurisée car l'URL dans le navigateur est uniquement HTTP. Est-ce que je peux faire quelque chose pour montrer aux utilisateurs que le formulaire est sécurisé?Comment faire pour rendre une page avec un iframe HTTPS apparaître sécurisé
Répondre
Ouvrez le formulaire dans une nouvelle fenêtre ou hébergez la page de conteneur sur un serveur sécurisé. Les utilisateurs ont le droit d'être sceptiques à l'égard d'une page non sécurisée hébergeant une page supposée sécurisée - elle mendie pratiquement pour des attaques XSS.
Rien qui déclenchera le navigateur habituel "Ceci est sécurisé" indicateurs.
Bien que les données de formulaire soumis est sécurisé
Il peut ou non être crypté. Mais c'est pas sécurisé, et le navigateur est absolument correct de vous refuser une icône de cadenas. Si la page parent est http
, alors cette page pourrait facilement avoir été modifiée par une attaque man-in-the-middle pour pointer le habituellement sécurisé vers un serveur complètement différent de celui attendu. Ou, la page parente peut avoir eu JavaScript injecté dedans pour enregistrer toutes les pressions de touche que vous faites dans le formulaire et les envoyer au serveur de l'attaquant.
L'utilisateur n'aurait aucun moyen de vérifier si cela s'était produit, à moins de voir la source de la page et de lire et comprendre chaque ligne de balisage et de script à l'intérieur. C'est absolument irréaliste.
Si vous n'êtes pas sur une page où tout le contenu est sécurisé par https
, toute soumission provenant de cette page n'est pas sécurisée, quel que soit le point où le formulaire action
est pointé. Si la page hôte est sécurisée ou non, placer des pages sécurisées https à l'intérieur d'un iframe n'est pas une bonne idée.
Même les pages https ne sont pas invulnérables aux attaques xss et MIM. La seule façon d'éviter toute confusion quant au domaine/serveur Web auquel votre navigateur Web s'adresse est d'aller directement à la page source - c'est-à-dire celle que vous essayez de mettre dans votre iframe. Les Iframes sont un moyen pratique d'inclure rapidement le contenu d'une autre page/site, mais ils ouvrent toute une série d'opportunités aux malhonnêtes!
Nous devons en fait supporter cela à partir d'un iframe tiers (c'est la seule façon dont ils offrent l'intégration en ce moment.) Vous avez absolument raison. Les attaques XSS mentionnées peuvent fonctionner indépendamment de la sécurité de la page parente (https ou http.) Il suffit d'une injection (que ce soit un lien de redirection vers une page d'hameçonnage, etc.) Elle s'occupe de la vulnérabilité de l'homme du milieu au moins (page parent avec SSL.) Nous sommes malheureusement obligés de donner l'illusion d'une sécurité de bout en bout. Mais encore une fois, même une page SSL sans iframe est tout aussi sensible. Bottom line: page parente w/SSL + sans injection vuln. – Bretticus
- 1. Application Facebook IFrame avec httpS
- 2. Facebook iframe déclenche un avertissement non sécurisé/sécurisé
- 3. Comment faire une requête HTTPS avec Erlang?
- 4. Comment faire apparaître une div simple où cliquer avec jQuery?
- 5. Un cookie est-il sécurisé dans une connexion HTTPS?
- 6. Comment faire apparaître UIKeyboard dans une vue?
- 7. Comment faire défiler la page parent avec iFrame reload
- 8. Comment faire apparaître une image sur un div un peu
- 9. C#: Comment rendre un thread IEnumerable <T> sécurisé?
- 10. Comment faire un iframe qui affiche la page parente
- 11. Comment faire un "affichage" Outlet apparaître dans une plume ViewController?
- 12. Aide avec le code php - besoin d'ajouter une condition pour faire un lien https
- 13. la création d'un iframe pour une page
- 14. Comment faire apparaître quelque chose sur chaque page de Django?
- 15. HTTPS Corps de réponse - Est-il sécurisé?
- 16. comment faire pour faire apparaître mon extension google chrome
- 17. Faire apparaître des images ... Comment?
- 18. Accès Webservice "HTTPS" sécurisé - WP 7
- 19. Comment puis-je faire apparaître deux fichiers PDF différents dans le même iframe?
- 20. Comment puis-je faire apparaître Colorbox dans une div?
- 21. Comment faire pour faire apparaître le menu en utilisant SendMessage?
- 22. Comment faire pour suivre l'utilisateur dans un iframe
- 23. Comment puis-je me débarrasser de l'avertissement sécurisé non sécurisé sur la page avec iframe sous SSL avec filtre de phishing?
- 24. Rendre java SingleFrameApplication à apparaître en deuxième
- 25. comment rendre tous les liens sur une page absolue?
- 26. Comment faire apparaître un lien guichet sous forme d'image?
- 27. Comment faire pour que tinymce fonctionne avec iframe?
- 28. Comment faire pour scrollTop d'un iframe
- 29. Comment faire pour empêcher Iframe hack
- 30. Comment utiliser des caches de blocs séparés pour un accès sécurisé et non sécurisé à Magento?
J'ai répondu avec quelques façons uniques de le faire ici: http://stackoverflow.com/questions/18327314/how-to-allow-http-content-within-an-iframe-on-a-https-site/25189561 # 25189561 –