【发布时间】:2011-01-24 04:00:32
【问题描述】:
来自具有 SSL 证书的域的 iframe 将嵌入到其他站点 (foo.com)。
- foo.com 必须有 SSL 证书吗?
- 如果 foo.com 有 SSL 证书,会不会是安全错误? foo.com 有 foo.com 的 SSL 证书,但 iframe 域有其他 SSL 证书。
- 如果 foo.com 没有获得 SSL 证书,会不会是安全错误?
【问题讨论】:
【发布时间】:2011-01-24 04:00:32
【问题描述】:
- 没有。
- 如果嵌入站点使用 SSL,您只会收到安全错误,而 iFramed 则不使用。网站是否使用不同的证书,这并不重要。
- 没有。 (这和#1不是同一个问题吗?)
总结
在主页和 iframe 页面之间拥有不同的证书不是问题。
在http:// 页面上嵌入带有<iframe /> 的https:// 页面不是问题。
但是,如果您正在运行一个通过http:// 嵌入非安全页面的https:// 安全页面,那么您可能会得到类似这样的信息(Internet Explorer):
这取决于浏览器及其设置。例如,在 IE 中您可以将其关闭:
【讨论】:
-
虽然外部页面不必通过 SSL(因为不会生成警告),但不这样做会破坏使用 SSL 的 iframe 的要点,因为用户不能检查。此外,显示混合内容总是一个坏主意。
-
我不知道你为什么 -1'd。我从来没有说过显示混合内容是一个好主意,我的回答基本上和你最近的回答一样:stackoverflow.com/a/9913269/283055——即:“页面通过 https:// 和 iframe 使用 http:/ / URL:会产生混合内容警告,从而带来潜在的安全风险,应该避免。”
-
只是您没有警告安全风险这一事实。 “foo.com 必须有 SSL 证书吗?”不,应该吗?是的。建议打开混合内容警告也不是一个好主意。
-
为什么@Bruno 是不好的做法?假设它是另一个站点的插件,它通过 iframe 验证 SSL,有什么大不了的?它仍然是 SSL 的; cookie 是 SSL 的,妥协是什么?
-
在 Firefox 23 和更新的混合内容中默认禁用,所以当然,您可以在浏览器中将其关闭。但还是尽量避免。
查看 iFrame 的最佳方式是将其视为几乎独立的浏览器。如果 foo.com 不是 SSL,但 iFramed 站点是 SSL,您将不会收到任何错误。
如果您在 foo.com 有 SSL 而 IFramed 网站没有的情况下切换此设置,您可以从浏览器收到关于混合内容的安全警告。
【讨论】:
这两个网站是否使用不同的 SSL 证书并不重要。但是,如果被 iframe 的网站不受 SSL 保护,即使嵌入 iframe 的网站受 SSL 保护,您也会收到部分加密的错误消息。我只知道这一点,因为这就是我现在正在处理的事情。我的网页只有在我取出没有 SSL 保护的 iframe 网站后才得到保护。
【讨论】:
虽然主网站(包含 iframe)不必使用 SSL,但它确实应该使用 SSL,至少在安全性问题(这是使用 SSL 的重点)的情况下。
不这样做会阻止用户检查 iframe 是否确实安全地提供以及它来自哪个站点,这使得它对 SSL 的使用毫无用处。 (例如here。)
【讨论】: