Ich habe eine Seite auf einer Website, die ein sicheres Formular in einem Iframe enthält. Obwohl die übermittelten Formulardaten sicher sind, erscheint die Seite nicht sicher, da die URL im Browser nur HTTP ist. Kann ich den Benutzern zeigen, dass das Formular sicher ist?So erstellen Sie eine Seite mit einem HTTPS-Iframe, der sicher angezeigt wird
Öffnen Sie das Formular in einem neuen Fenster oder hosten Sie die Container-Seite auf einem sicheren Server. Benutzer haben das Recht, einer unsicheren Seite, auf der eine vermeintlich sichere Seite gehostet wird, skeptisch gegenüber zu stehen - sie fleht förmlich um XSS-Angriffe.
Nichts, was die üblichen Browser "Dies ist sicher" Indikatoren auslösen wird.
Obwohl die Formulardaten übertragen sicher
Es kann oder nicht verschlüsselt werden kann. Aber es ist nicht sicher, und der Browser ist absolut richtig, Ihnen ein Vorhängeschloss-Symbol zu verweigern.
Wenn die übergeordnete Seite http ist, dann könnte diese Seite leicht durch einen Man-in-the-middle-Angriff geändert werden, um den normalerweise sicheren auf einen völlig anderen Server als den erwarteten zu verweisen. Oder es wurde möglicherweise in die übergeordnete Seite JavaScript eingefügt, um alle von Ihnen vorgenommenen Tastatureingaben in das Formular zu schreiben und sie an den Server des Angreifers zu senden.
Der Benutzer hätte keine Möglichkeit zu überprüfen, ob dies geschehen war, kurz bevor die Seitenquelle angezeigt wurde und jede Markup- und Skriptlinie darin gelesen und verstanden wurde. Das ist absolut unrealistisch.
Wenn Sie sich nicht auf einer Seite befinden, auf der alle Inhalte durch https gesichert sind, ist jede Übermittlung von dieser Seite unsicher, unabhängig davon, wo das Formular action angezeigt wird.
Unabhängig davon, ob die Host-Seite gesichert ist oder nicht, ist es nicht empfehlenswert, gesicherte HTTPS-Seiten innerhalb eines Iframes zu platzieren. Selbst HTTPS-Seiten sind nicht gegen XSS- und MIM-Angriffe immun. Der einzige Weg, um Verwirrung darüber zu vermeiden, mit welcher Domäne/welchem Web-Server Ihr Web-Browser gerade kommuniziert, ist, direkt auf die Quellseite zu gelangen - d. H. Diejenige, die Sie in Ihren iframe einfügen möchten.
Iframes sind eine bequeme Möglichkeit, schnell Inhalte von einer anderen Seite/Site einzubinden, aber sie eröffnen den Unehrlichen eine Menge Möglichkeiten!
Wir müssen dies tatsächlich von einem iframe eines Drittanbieters unterstützen (das ist der einzige Weg, wie sie Integration jetzt anbieten.) Sie haben absolut Recht. Die genannten XSS-Angriffe können unabhängig von der Sicherheit der übergeordneten Seite funktionieren (https oder http). Es braucht nur eine Injektion (ob es sich um einen Weiterleitungslink zu einer Phishing-Seite handelt usw.). Es kümmert sich um die Man-in-the-Middle-Schwachstelle Zumindest (Elternseite mit SSL). Wir sind leider gezwungen, die Illusion von End-to-End-Sicherheit zu geben. Aber auch eine SSL-Seite ohne Iframe ist genauso anfällig. Bottom line: Elternseite mit SSL + keine Injektion vuln. – Bretticus
Ich antwortete mit ein paar einzigartigen Möglichkeiten, dies hier zu tun: http://stackoverflow.com/questions/18327314/how-to-allow-http-content-within-an-iframe-on-https-site/25189561 # 25189561 –