44 votes

Tom avatar

iframe HTTP et HTTPS

Demandé el 29 de Juin, 2010
Quand la question a-t-elle été
37107 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Ouvert
Situation réelle de la question

Je suis en train de créer un petit widget et je veux permettre aux autres de l'utiliser. Le site iframe est chargé via HTTP - mais je veux permettre aux utilisateurs de se connecter via HTTPS, c'est-à-dire envoyer une demande de connexion via SSL.

Est-ce que cela est autorisé dans le cadre de la politique de l'origine identique ? Par exemple, le scénario est le suivant : un utilisateur peut intégrer mon JavaScript à son site web, le widget s'ouvre et je veux lui permettre de se connecter via HTTPS ?

Demandé el 29 de Juin, 2010 par Tom

Réponses

Trop de publicités?

51voto

Bruno avatar
Bruno Points 47560

Il s'agit généralement d'une mauvaise pratique que d'intégrer une iframe dont le contenu est servi en HTTPS dans une page servie en HTTP ordinaire (ou un mélange de contenus). La raison en est qu'il n'y a pas de bon moyen pour l'utilisateur de vérifier qu'il utilise le site HTTPS prévu (sauf si l'utilisateur veut vraiment vérifier la source de la page).

Un attaquant pourrait très bien remplacer le contenu que vous servez ainsi :

<iframe src="https://your.legitimate.example/loginframe" />

avec :

<iframe src="https://rogue.site.example/badloginframe" />

ou même :

<iframe src="http://rogue.site.example/badloginframe" />

Cette situation est très difficile à détecter pour l'utilisateur et va à l'encontre de la mesure de sécurité que vous essayez de mettre en place en permettant la connexion via HTTPS.

Répondu el 6 de Juillet, 2010 par Bruno (47560 Points )

6voto

Code Jockey avatar
Code Jockey Points 3516

@Bruno - Je suis d'accord, mais j'aimerais souligner que même la vérification de la source - aussi exigeante soit-elle - de la page peut ne pas suffire à garantir la sécurité ou la destination correcte/prévue, car c'est souvent le cas. à l'origine a servi le texte source. Sauf erreur de ma part, cela peut être facilement modifié avec du code javascript in-page ou même off-page (qui peut lui-même être obscurci, si quelqu'un veut vraiment le rendre pratiquement impossible à trouver). Cela dit, SI un utilisateur dispose d'un navigateur approprié, Je pense qu'ils pourrait être capable - si elles sont suspectes pour commencer - de vérifier la source de l'iframe pour déterminer la source de ce code, puis de déterminer s'ils font confiance à la source... pas vraiment une attente raisonnable.

Bien que tout cela puisse être déterminé à l'aide de débogueurs appropriés et/ou d'inspecteurs de logiciels/DOM et d'une bonne dose d'huile de coude numérique, le PO ne peut pas raisonnablement s'attendre à ce que tout le monde fasse cela (si quelqu'un du tout)

Répondu el 14 de Février, 2011 par Code Jockey (3516 Points )

4voto

user2323922 avatar
user2323922 Points 41

J'ai fait quelques tests. Si vous créez un lien d'une page https vers un autre domaine avec https, ils ont besoin d'un certificat SSL valide.

Répondu el 19 de Juin, 2014 par user2323922 (41 Points )

Questions en vedette

Top Tags

Dans notre réseau

Prograide.com

Prograide est une communauté de développeurs qui cherche à élargir la connaissance de la programmation au-delà de l'anglais.
Pour cela nous avons les plus grands doutes résolus en français et vous pouvez aussi poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X