那些遇到过的问题

安全IFRAME嵌套在非安全页面上

Chr*_*ker 5 ssl iframe cross-domain

我有一个客户端,由于特定原因,需要IFRAME在HTTP页面上指向HTTPS页面.HTTP页面托管在与HTTPS页面不同的域和服务器上,但都由同一客户端拥有.

暂且不论为什么这个理由不能做到,我发现很难在实践中落实.

正如我们在此页面上看到的:http://www.clevelandutilities.com/obppay.htm IFRAME在HTTP页面上有一个HTTPS ,没有来自浏览器的任何警告(Firefox或IE).但是,如果我尝试相同的方法,Firefox和IE都会抱怨证书.

关于为什么会这样的想法?我已经检查了该示例站点的源代码,并且看不到任何特殊内容,但如果我尝试同样的事情,我会发出嘎嘎声.此外,如果我把他们正在使用的域名(https://www.paybill.com/cu/),它不会抱怨 - 如果我把它的域名,它抱怨.是否创建了所有SSL证书?

把它煮沸,这没有警告:

<iframe src="https://www.paybill.com/cu/" width="100%" height="600" scrolling="auto"></iframe>
Run Code Online (Sandbox Code Playgroud)

这不是:

<iframe src="https://www.myclientdomain.com/somepage.php" width="100%" height="600" scrolling="auto"></iframe>
Run Code Online (Sandbox Code Playgroud)

此外,我们使用一种IFRAME风格的Facebook应用程序来管理这个相同的HTTPS页面,并且没有关于SSL证书的投诉.咦?

Chr*_*ker 6

在挖掘了一下之后,我们发现证书是特定于www .myclientdomain.com的,并且负责的开发人员已经使用...src="https://myclientdomain.com"...IFRAME.这导致以下"连接不可信"错误屏幕:

不受信任的错误截图

主机域的常见做法是永远不要在URL中使用"www"(使用.htaccess强制执行),而源域(带有证书的域)的标准是始终使用它(使用.htaccess强制执行).这就是导致其他开发者离开的原因 - 这就是他习惯于他的网站.

如果有人点击了"我理解风险",即使对源域进行了一次并添加了证书例外,之后的任何访问都会进入htaccess并被重定向到www-,这就是为什么在我(和其他开发人员的)计算机上当我们的老板得到警告时,页面会加载正常并在Firebug中检查正常.我们两个(显然)过去曾因某种原因添加了例外.

当我们把它放在一起时,这是一个真正的facepalm时刻.感谢任何提出这个问题的人,很遗憾没有仔细检查细节.:)

归档时间:

查看次数:

8983 次

最近记录:

12 年,10 月 前
相关归档
如何在特定连接上使用不同的证书? 159
CORS - 不使用JSONP的跨域AJAX,允许在服务器上使用Origin 8
处理rails 3控制器中的jsonp 7
wp_remote_post在SSL连接上返回错误 7
使用Retrofit和OkHttp Handshake的HTTPS失败 7
是否专门使用NSURLConnection来处理可转换为NSURLSession的自签名证书? 5
启用Java以允许过期的证书 5
Youtube iFrame 嵌入 stopVideo 不是函数 5
Dash - 通过函数回调更改 HTML.iframe 元素 4
Python请求库SSL错误:[Errno 2]没有此类文件或目录 1
难疑归档
Reference — What does this symbol mean in PHP? 4314
如何在PHP中解析和处理HTML/XML? 2071
如何在Bash中解析命令行参数? 1764
为什么模板只能在头文件中实现? 1660
match_parent和fill_parent有什么区别? 1371
使用*args和**kwargs 1367
Markdown中的评论 1277
如何使用Python连接MySQL数据库? 1117
如何使用$ scope.$ watch和$ scope.$在AngularJS中申请? 1076
Access-Control-Allow-Origin标头如何工作? 1050