如果SSL页面在非SSL页面中被设置为iframe并且SSL页面具有提交数据的表单,表单提交(POST)仍然安全吗?SSL页面在非SSL页面中被iframed - 表单提交仍然安全吗?
如果不是,我该如何使它安全?
谢谢。
如果SSL页面在非SSL页面中被设置为iframe并且SSL页面具有提交数据的表单,表单提交(POST)仍然安全吗?SSL页面在非SSL页面中被iframed - 表单提交仍然安全吗?
如果不是,我该如何使它安全?
谢谢。
我认为从安全的iframe提交表单仍然是安全的,说你很容易在中间人攻击。主要的非安全页面上的JavaScript注入可能会危及安全的iframe。
你也不会得到在给定的网站浏览器的挂锁图标是不安全的(只有iframe是)
#2的另一个主题说明这一点:iframe an SSL secured form on a non SSL site
设置窗体的行动明确地是“https:// ...”因此它总是会出现SSL
如果SSL页面在非SSL页面中有iframed并且该SSL页面具有提交数据的表单,则表单提交(POST )仍然安全?
加密?是。
安全吗?没有。
父页面可以与由中间人攻击者被篡改,例如:
包括针对的IFRAME一个点击劫持攻击,如覆盖假形式的元件或提取内容(见'下一代点击劫持“)
将iframe的来源更改为预期的HTTPS地址 - 另一个未受保护的HTTP连接或属于攻击者的HTTPS站点。浏览器不提供检查可用于普通用户的iframe源的方法。
在这种情况下,表单内容可能会受到损害,而不会向用户指示表单尚未正常处理。
如果不是,我该如何使它安全?
唯一的答案是对父页面和iframe表单使用HTTPS。