SSL ページが非 SSL ページに iframe されており、その SSL ページにデータを送信するフォームがある場合、フォーム送信 (POST) は安全ですか?
いいえの場合、どうすれば安全になりますか?
ありがとう。
質問する
683 次
3 に答える
1
フォームのアクションを明示的に「https://...」に設定して、常に SSL を使用するようにします
于 2013-07-03T08:01:04.533 に答える
1
SSL ページが非 SSL ページに iframe されており、その SSL ページにデータを送信するフォームがある場合、フォーム送信 (POST) は安全ですか?
暗号化?はい。
安全?番号。
親ページは中間者攻撃者によって改ざんされる可能性があります。たとえば、次のようになります。
偽のフォーム要素のオーバーレイやコンテンツの抽出など、iframe に対するクリックジャッキング攻撃を含む (考えられる攻撃の範囲については、「次世代のクリックジャッキング」を参照)
iframe のソースを意図した HTTPS アドレス以外の場所 (別の保護されていない HTTP 接続、または攻撃者が所有する HTTPS サイト) に変更します。ブラウザーは、平均的な消費者が使用できる iframe のソースを確認する方法を提供していません。
この場合、フォームが正常に処理されなかったことをユーザーに示すことなく、フォームの内容が侵害される可能性があります。
いいえの場合、どうすれば安全になりますか?
唯一の答えは、親ページと iframe フォームの両方に HTTPS を使用することです。
于 2013-07-03T08:54:54.570 に答える
0
セキュリティで保護された iframe からのフォーム送信は、中間者攻撃を受けやすいと言われていますが、それでも安全であると思います。安全でないメイン ページでの JavaScript インジェクションにより、安全な iframe が危険にさらされる可能性があります。
また、Web サイトが安全でない場合 (iframe のみ)、ブラウザーに南京錠アイコンが表示されません。
Stackoverflow の別のトピックでは、これについて説明しています:非 SSL サイトでの SSL 保護フォームの iframe
于 2013-07-03T08:00:37.597 に答える