Небезопасный контент в iframe на защищенной странице

Question

Я занимаюсь разработкой приложения для клиента, который будет иметь сертификат SSL и будет обслуживаться под https. Однако для интеграции со своим существующим сайтом они хотят обеспечить их навигацию внутри iframe.

Я вижу, что это вызывает проблемы, так как я ожидаю, что браузер будет жаловаться на сочетание безопасного и небезопасного контента на странице. Я посмотрел на подобные вопросы здесь, и все они, похоже, ссылаются на это в обратном направлении (защищенный контент в iframe).

Таким образом, я хотел бы знать, будет ли проблема включать небезопасный контент внутри iframe, размещенный на защищенной странице, и если да, то каковы будут проблемы?

В идеале, если это не очень хорошая идея (и у меня есть сильное чувство, что это не так), я должен уметь объяснить это клиенту.

Answer 1

Если страница осуществляется доступ с помощью https://www.example.com/main/index.jsp (SSL), то ваш браузер будет жаловаться на «Эта страница содержит как безопасные, так и небезопасные элементы», если есть какие-либо ресурсы в HTML-коде, на которые ссылаются с http:// (без SSL) , Это включает iframes.

Если страница навигации размещается на том же сервере, то вы можете предотвратить сообщение «небезопасное содержание», используя относительный URL, как это ...

<iframe src="/app/navigation.jsp" /> 

Из Вашего вопроса это звучит как страницы навигации в настоящее время подается от отдельного хозяина, и вы вынуждены использовать что-то вроде этого

<iframe src="http://otherserver.example.com/app/navigation.jsp" /> 

, который, конечно, вызывает сообщение «небезопасное содержание» в вашем браузере.

Ваши единственные решения либо

1. реализовать SSL на сервере держа вашу страницу навигации, так что вы можете использовать https:// для справки Iframe или

2. движение навигационного приложения к одному серверу поэтому вы можете использовать относительный URL-адрес.

Лично я не могу понять, почему ваша навигация будет на другой хост, потому что тогда вы собираетесь получить вопросы создания сценариев междоменного JavaScript (если некоторые фанки JSONP не участвуют).

Answer 2

Если ваша страница http, то она позволяет iframe с содержанием https.

Но если ваша страница https, она не разрешает содержание HTTP.

Позволяет установить следующие возможности.

page - iframe - status 

http - http - allowed 
http - https - allowed 
https- http - not allowed 
https- https - allowed 

Answer 3

Попробуйте удалить Http: символы в значении атрибута SRC как так:

<iframe src="//example.com/thefile.htm"></iframe> 

Это, конечно, обходной путь, безопасность важна, так что не обойти беспечно, но в любом случае это когда-то получил у меня была аналогичная проблема.