У меня есть страница на веб-сайте, которая содержит безопасную форму внутри iframe. Хотя представленные данные формы защищены, страница не отображается как защищенная, так как URL-адрес в браузере - это просто HTTP. Есть ли что-нибудь, что я могу сделать, чтобы показать пользователям, что форма защищена?Как сделать страницу с iframe HTTPS безопасным
Открыть форму в новом окне или разместить страницу контейнера на защищенном сервере. Пользователи имеют право скептически относиться к небезопасной странице, на которой размещена якобы безопасная страница, - это практически попрошайничество для атак XSS.
Ничего, что приведет к появлению обычного браузера «Это безопасные» индикаторы.
Хотя данные формы, представленные в безопасности
Это может или не может быть зашифрован. Но это не безопасно, и браузер абсолютно прав, чтобы отказать вам в значке замка.
Если родительская страница http, эта страница может быть легко изменена атакой «человек в середине», чтобы указать обычно защищенный на совершенно другой сервер с ожидаемым. Или родительская страница могла бы вставлять JavaScript в нее, чтобы регистрировать любые нажатия клавиш, которые вы вводите в форму, и отправлять их на сервер злоумышленника.
Пользователь не будет иметь возможности проверить, не произошло ли это, не просмотрев источник страницы и не прочитав каждую строку разметки и скрипта внутри нее. Это абсолютно нереально.
Если вы не на странице, где весь контент защищен https, любая подача с этой страницы небезопасна, независимо от того, где указана форма action.
Независимо от того, обеспечена ли страница хоста или нет, размещение защищенных страниц https внутри iframe не является хорошей идеей. Даже https-страницы не являются неуязвимыми для атак xss и MIM. Единственный способ избежать путаницы в отношении того, к какому домену/веб-серверу относится ваш веб-браузер, - перейти прямо к исходной странице, то есть к той, которую вы пытаетесь установить внутри вашего iframe.
Iframe - это удобный способ быстрого добавления контента с другой страницы/сайта, но они открывают целую кучу возможностей для нечестного!
Мы должны фактически поддерживать это от стороннего iframe (это единственный способ предложить интеграцию прямо сейчас.) Вы абсолютно правы. Указанные атаки XSS могут работать независимо от безопасности родительской страницы (https или http.). Все, что требуется, - это инъекция (будь то перенаправление ссылки на фишинговую страницу и т. Д.). Она заботится об уязвимости «человек в середине» по крайней мере (родительская страница с SSL.) К сожалению, мы вынуждены представить иллюзию сквозной безопасности. Но опять же, даже страница SSL без iframe столь же восприимчива. Итог: родительская страница с SSL + без инъекций. – Bretticus
Я ответил несколькими уникальными способами, чтобы сделать это здесь: http://stackoverflow.com/questions/18327314/how-to-allow-http-content-within-an-iframe-on-a-https-site/25189561 # 25189561 –