Contenu non sécurisé dans l'iframe sur une page sécurisée

Question

Je suis dans le processus de développement d'une application pour un client, ce qui va avoir un certificat SSL et d'être servi sous le protocole https. Toutefois, pour les intégrer à leur site existant, ils veulent offrir à leurs navigation à l'intérieur d'une iframe.

Je peux voir ce qui pose problème, comme je l'avais espérer le navigateur pour se plaindre de la combinaison de sécurisé et non sécurisé de contenu sur la page. J'ai eu un coup d'oeil à des questions similaires sur ici et ils ont tous l'air de se référer à ce l'inverse (secure contenu dans l'iframe).

Ce que je voudrais savoir, alors, est: peut-il provoquer des problèmes d'insécurité contenu inclus à l'intérieur d'un iframe, placé sur une page sécurisée , et si oui, quelle sorte de problèmes seraient-ils?

Idéalement, si ce n'est pas une bonne idée (et j'ai un fort sentiment que ce n'est pas le cas) j'ai besoin d'être en mesure d'expliquer au client.

Answer 1

Si votre page est http, cela permet à iframe avec un contenu https.

Mais si votre page est https, elle n'autorise pas le contenu http.

Permet de poser les possibilités suivantes.

 page - iframe - status

http - http  - allowed
http - https - allowed
https- http  - not allowed
https- https - allowed ? (Need to confirm)
 

Answer 2

Si votre page est accessible à l'aide d' https://www.server.com/main/index.jsp (SSL) puis votre navigateur va se plaindre avec "Cette page contient à la fois sécurisé et non sécurisé éléments" si il y a des ressources dans le code HTML qui sont référencés par http:// (non-SSL). Cela inclut les iframes.

Si votre page de navigation est hébergé sur le même serveur, alors vous pouvez empêcher l ' "insécurité" contenu du message à l'aide d'une URL relative comme ça...

<iframe src="/app/navigation.jsp" />

À partir de votre question, il semble que votre page de navigation est servi à partir d'un autre ordinateur et vous êtes obligé d'utiliser quelque chose comme ceci

<iframe src="http://www.otherserver.com/app/navigation.jsp" />

qui sera bien entendu fait le "contenu non sécurisé" message dans votre navigateur.

Vos solutions sont soit de

1. mettre en œuvre le protocole SSL sur le serveur de la tenue de votre page de navigation de sorte que vous pouvez utiliser https:// pour votre iframe de référence, ou

2. déplacer l'application de navigation pour le même serveur de sorte que vous pouvez utiliser une URL relative.

Personnellement, je ne vois pas pourquoi votre navigation sur un hôte différent parce que vous allez obtenir le JavaScript de la croix-domaine problèmes de scripts (à moins que certains funky JSONP est impliqué).