HTTP и HTTPS iframe
Я создаю маленький виджет, и я хочу позволить другим использовать его. iframe загружается через HTTP - но я хочу позволить пользователям входить в систему через HTTPS. т.е. Отправьте запрос для входа в систему через SSL.
Это позволяется в политике того-же-источника? т.е. сценарий - то, что пользователь может интегрировать мой JavaScript к их веб-сайту, виджет открывается, и я хочу позволить им входить в систему через HTTPS?
1 ответ
Как правило, встраивать iframe с контентом, обслуживаемым по HTTPS, в страницу, обслуживаемую по обычному протоколу HTTP (или смешивать контент), является плохой практикой. Причина этого в том, что у пользователя нет хорошего способа проверить, что он использует сайт HTTPS, который он намеревается (если пользователь действительно не хочет проверить источник страницы).
Злоумышленник вполне может заменить контент, который вы обслуживаете, следующим образом:
<iframe src="https://your.legitimate.example/loginframe" />
на:
<iframe src="https://rogue.site.example/badloginframe" />
или даже:
<iframe src="http://rogue.site.example/badloginframe" />
Это очень трудно обнаружить пользователю, и он сводит на нет меры безопасности, которые вы пытаетесь использовать. поставить на место, разрешив вход через HTTPS.