来自不同域的 SSL iframe 和 SSL 页面答案

【问题标题】：SSL iframe in and SSL page from a different domain来自不同域的 SSL iframe 和 SSL 页面
【发布时间】：2012-04-12 08:32:05
【问题描述】：

为所有这些选项设置沙箱目前不可行。所以我呼吁社区寻求帮助。这是一个奇怪的问题，我只想知道什么会起作用（最重要的是在 ie 中），什么不会。

带有 iframe 的 Http 页面包含来自同一域的 https //否想法
带有 iframe 的 Http 页面包含来自不同域的 https //不知道
具有 iframe 的 Https 页面包含来自同一域的 https //不知道
具有 iframe 的 Https 页面包含来自不同域的 https //不知道
带有 iframe 的 Http 页面包含来自同一域的 http //I 知道这行得通
带有 iframe 的 Http 页面包含来自不同域的 http //我知道这行得通
具有 iframe 的 Https 页面包含来自同一域的 http //怀疑这行不通
Https 页面的 iframe 包含来自不同域的 http //怀疑这行不通

为了更好的阅读；）

╔═════════════════════╦═══╦═══════════════╦══════════════════╦═══════════════════╗
║ Page with an iFrame ║ c ║ inside iFrame ║      domain      ║       works?      ║
╠══════════╦══════════╣ o ╠═══════╦═══════╬══════╦═══════════╬═══════════════════╣
║   http   ║   https  ║ n ║  http ║ https ║ same ║ different ║                   ║
╠══════════╬══════════╣ t ╠═══════╬═══════╬══════╬═══════════╬═══════════════════╣
║     X    ║          ║ a ║       ║   X   ║   X  ║           ║      no idea      ║
╠══════════╬══════════╣ i ╠═══════╬═══════╬══════╬═══════════╬═══════════════════╣
║     X    ║          ║ n ║       ║   X   ║      ║     X     ║      no idea      ║
╠══════════╬══════════╣ i ╠═══════╬═══════╬══════╬═══════════╬═══════════════════╣
║          ║     X    ║ n ║       ║   X   ║   X  ║           ║      no idea      ║
╠══════════╬══════════╣ g ╠═══════╬═══════╬══════╬═══════════╬═══════════════════╣
║          ║     X    ║   ║       ║   X   ║      ║     X     ║      no idea      ║
╠══════════╬══════════╣   ╠═══════╬═══════╬══════╬═══════════╬═══════════════════╣
║     X    ║          ║   ║   X   ║       ║   X  ║           ║ I know this works ║
╠══════════╬══════════╣   ╠═══════╬═══════╬══════╬═══════════╬═══════════════════╣
║     X    ║          ║   ║   X   ║       ║      ║     X     ║ I know this works ║
╠══════════╬══════════╣   ╠═══════╬═══════╬══════╬═══════════╬═══════════════════╣
║          ║     X    ║   ║   X   ║       ║   X  ║           ║  doubt this works ║
╠══════════╬══════════╣   ╠═══════╬═══════╬══════╬═══════════╬═══════════════════╣
║          ║     X    ║   ║   X   ║       ║      ║     X     ║  doubt this works ║
╚══════════╩══════════╩═══╩═══════╩═══════╩══════╩═══════════╩═══════════════════╝

请帮忙！提前致谢。

【问题讨论】：

标签： iframe ssl https widget

【解决方案1】：

包含页面和 iframe 是否在同一个域中并不重要。

使用http:// URL 的 iframe 通过 http:// 提供的页面：工作正常。
通过使用https:// URL 的 iframe 在 http:// 上投放的页面：工作正常，but you won't be able to ensure the security of the iframe。
通过使用http:// URL 的 iframe 在https:// 上投放的页面：会生成混合内容警告，从而带来潜在的安全风险，应该避免。
使用https:// URL 的 iframe 通过https:// 提供的页面：工作正常。用户可能会发现很难检查 iframe 是否来自他们期望的站点。他们实际上相信包含页面会做正确的事情（请参阅3-D secure problem）。

【讨论】：

@AviFlax，你希望得到什么样的资源？
任何东西，真的。如果你找不到任何确凿的来源，也许你可以解释一下你是怎么知道这一切的。

【解决方案2】：

我遇到了同样的问题，并找到了适合我和我的项目的解决方法：

我没有使用 iframe，而是使用弹出窗口 (javascript window.open) 来放置 iFrame。在打开弹出窗口之前，我检查 iframe 上的 SRC 是否以 https 开头。如果是这样，我用 https 打开弹出窗口，否则我用 http 打开弹出窗口。

希望这些信息对你们中的一些人有所帮助:-)

【讨论】：