我读过关于 SF 的逆。首先我知道这是不好,不太理想。 但情况就是这样。我认为我的想法是有缺陷的,我想知道我的想法是对还是错。
我让用户对由共享托管提供商控制的 Web 应用程序进行身份验证。它不安全;它通过 80 上的纯 HTTP 进行传输。我确实可以通过域上的适当证书控制 443 上的我自己的安全服务。我创建了一个子目录(它不是通配符证书),它只是一个全页面 iframe,它转到该共享托管服务的身份验证页面。我的通过 HTTPS 连接加载 HTTP 帧的理由是通过隧道安全地加载并在其内部网络而不是公共互联网上在我的服务器周围运行。 从理论上来说,情况并没有那么糟糕。但这真的是一个安全的假设吗?
这不是一个永久的问题,但是我需要一些临时解决办法直到我可以改变策略并摆脱这个问题。
答案1
元素的内容IFRAME不是由同一服务器提供的(即它不是代理)。浏览器将直接转到为指定的位置来加载内容。在 HTTPS 页面IFRAME内加载子页面不会以任何方式保护子页面。IFRAME
答案2
现代浏览器(例如 Google Chrome 和 Mozilla Firefox)会对所谓的“混合内容”有所抱怨,这基本上是指网站部分以 HTTPS 形式提供,因此您在执行所提议的内容时会遇到困难。
相反,在您自己的服务器上创建一个位置并通过反向代理提供该内容。这对您的用户来说更安全,您将为他们提供更好的体验。
此致。
答案3
不太确定您是否在做什么,但我猜它的工作方式将取决于客户端浏览器以及它对安全页面上的不安全页面的反应。
不同的浏览器反应不同。