Только что решили. Всего два f. дней брутфорса
Для меня секрет заключался в следующем:
credentials: 'include'
и получив 401 unauth, из-за отсутствия файлов cookie с запросом. KEY должен установить credentials: 'include'
для первого / api / auth call.
Лучший способ взглянуть на iFrame - это чтобы увидеть его как почти отдельный браузер. В случае, если foo.com не является SSL, а сайт iFramed использует SSL, вы не получите никаких ошибок.
Если вы поменяете местами, где у foo.com есть SSL, а у сайта IFramed нет, вы можете получить предупреждение системы безопасности о смешанном контенте из браузера.
Резюме
Наличие разных сертификатов между главной страницей и страницами iframe не является проблемой.
Встраивание страниц https: //
с
на страницу http: //
не является проблемой.
Однако, если вы используете защищенную страницу https: //
, которая включает незащищенные страницы через http: //
, то вы можете получить что-то вроде этого (Internet Explorer ):
Это зависит от браузера и его настроек. Например, в IE вы можете отключить это: