J'ai une page sur un site Web qui contient un formulaire sécurisé dans un iframe. Bien que les données de formulaire soumises soient sécurisées, la page ne semble pas sécurisée car l'URL dans le navigateur est uniquement HTTP. Est-ce que je peux faire quelque chose pour montrer aux utilisateurs que le formulaire est sécurisé?Comment faire pour rendre une page avec un iframe HTTPS apparaître sécurisé
Ouvrez le formulaire dans une nouvelle fenêtre ou hébergez la page de conteneur sur un serveur sécurisé. Les utilisateurs ont le droit d'être sceptiques à l'égard d'une page non sécurisée hébergeant une page supposée sécurisée - elle mendie pratiquement pour des attaques XSS.
Rien qui déclenchera le navigateur habituel "Ceci est sécurisé" indicateurs.
Bien que les données de formulaire soumis est sécurisé
Il peut ou non être crypté. Mais c'est pas sécurisé, et le navigateur est absolument correct de vous refuser une icône de cadenas. Si la page parent est http, alors cette page pourrait facilement avoir été modifiée par une attaque man-in-the-middle pour pointer le habituellement sécurisé vers un serveur complètement différent de celui attendu. Ou, la page parente peut avoir eu JavaScript injecté dedans pour enregistrer toutes les pressions de touche que vous faites dans le formulaire et les envoyer au serveur de l'attaquant.
L'utilisateur n'aurait aucun moyen de vérifier si cela s'était produit, à moins de voir la source de la page et de lire et comprendre chaque ligne de balisage et de script à l'intérieur. C'est absolument irréaliste.
Si vous n'êtes pas sur une page où tout le contenu est sécurisé par https, toute soumission provenant de cette page n'est pas sécurisée, quel que soit le point où le formulaire action est pointé. Si la page hôte est sécurisée ou non, placer des pages sécurisées https à l'intérieur d'un iframe n'est pas une bonne idée.
Même les pages https ne sont pas invulnérables aux attaques xss et MIM. La seule façon d'éviter toute confusion quant au domaine/serveur Web auquel votre navigateur Web s'adresse est d'aller directement à la page source - c'est-à-dire celle que vous essayez de mettre dans votre iframe. Les Iframes sont un moyen pratique d'inclure rapidement le contenu d'une autre page/site, mais ils ouvrent toute une série d'opportunités aux malhonnêtes!
Nous devons en fait supporter cela à partir d'un iframe tiers (c'est la seule façon dont ils offrent l'intégration en ce moment.) Vous avez absolument raison. Les attaques XSS mentionnées peuvent fonctionner indépendamment de la sécurité de la page parente (https ou http.) Il suffit d'une injection (que ce soit un lien de redirection vers une page d'hameçonnage, etc.) Elle s'occupe de la vulnérabilité de l'homme du milieu au moins (page parent avec SSL.) Nous sommes malheureusement obligés de donner l'illusion d'une sécurité de bout en bout. Mais encore une fois, même une page SSL sans iframe est tout aussi sensible. Bottom line: page parente w/SSL + sans injection vuln. – Bretticus
J'ai répondu avec quelques façons uniques de le faire ici: http://stackoverflow.com/questions/18327314/how-to-allow-http-content-within-an-iframe-on-a-https-site/25189561 # 25189561 –