iframe 和 SSL 安全性答案

【问题标题】：iframe and ssl securityiframe 和 SSL 安全性
【发布时间】：2011-11-05 01:07:56
【问题描述】：

已经在 ASP.NET MVC 3 中开发了这个新网站（所以我不认为我是否可以使用 AJAX）

所以我想在这个新网站上创建一个页面，如下所示：www.mynewwebsite.com/store

在该页面中，我想使用 iframe 并显示旧的电子商务网站，以便人们使用相同的域名，即新网站，他们将能够从新网站上的旧网站购买产品。

我有一个旧的电子商务网站，我试图将它用作 iframe 中的源，它有 SSL 证书，你认为如果有人会在 ssl 上的 iframe 会话中购买东西，这可能会导致问题，因为地址栏中的 url会是新网站吗？还是不影响？

【问题讨论】：

【解决方案1】：

服务器的身份验证是保护 HTTPS 连接的基础。这意味着用户必须能够看到他们在正确的网站上，并拥有经过验证的证书。

如果您的“外部”站点（包含 iframe 的站点）使用纯 HTTP：这显然是一种不好的做法，因为用户根本无法看到他们正在正确使用 HTTPS。两种方式都应避免混合内容。

如果外部站点使用 HTTPS（使用不同的主机名和证书），它有效地保证它通过 iframe 提供的服务，隐含地，或者至少这应该是为外部框架呈现的期望经验证的证书。我不会考虑那种“最佳实践”，但它并没有那么糟糕。

【讨论】：

是的，我知道客户无法查看他们是否使用 SSL 进行交易。但我的问题是关于安全的。如果 iframe 后台源使用 SSL，而我的主网站没有使用 SSL，在结帐过程中，来自 iframe 源的 SSL 证书是否会导致任何问题，因为地址 bas 中的 url 将是当前网站？
用户能够检查他们正在使用什么的能力是安全方面不可或缺的一部分。这对任何安全评估都至关重要。如果您正在寻找更多技术方面的内容，攻击者可以对包含页面进行 MITM 攻击，并将指向您网站的 iframe 链接替换为指向虚假网站的链接（可能是代理/类似外观）。
那么在这种情况下你会推荐什么？最佳实践？我不希望在线客户访问两个不同的网站，客户一次又一次地更换页面太费力了。
至少，外部页面也通过 HTTPS 提供服务（及其所有内容：图像、javascript...）
这样的话2个ssl证书不会互相冲突？