我正在为客户端开发应用程序,该应用程序将具有SSL证书并在https下提供。但是,为了与现有网站集成,他们希望在iframe中提供导航。
我可以看到这引起了麻烦,因为我希望浏览器抱怨页面上安全内容和不安全内容的混合。我在这里看到过类似的问题,它们似乎都是相反的方式(iframe中的安全内容)。
那么,我想知道的是:是否会导致问题,使iframe中包含不安全的内容并放置在安全页面上,如果是这样,它们将是什么样的问题?
理想情况下,如果这不是一个好主意(我强烈认为不是),那么我需要能够向客户解释这一点。
Answers:
如果使用https://www.example.com/main/index.jsp(SSL)访问您的页面,那么如果HTML代码中引用了http://(非SSL)任何资源,则浏览器将显示“此页面同时包含安全和不安全的项目” 。这包括iframe。
如果您的导航页位于同一服务器上,则可以使用类似的相对URL来防止显示“内容不安全”消息。
<iframe src="/app/navigation.jsp" />
从您的问题看来,您的导航页是由单独的主机提供的,因此您被迫使用此类内容
<iframe src="http://otherserver.example.com/app/navigation.jsp" />
这当然会导致浏览器中出现“内容不安全”消息。
您唯一的解决方案是
在保存您的导航页的服务器上实施SSL,以便您可以将其https://用作iframe参考,或者
将导航应用程序移至同一服务器,以便可以使用相对URL。
我个人看不到您的导航为何会在其他主机上的原因,因为那样您将遇到JavaScript跨域脚本问题(除非涉及一些时髦的JSONP)。
src="/app/navigation.jsp"方法是否不要求iframe的内容在HTTPS下可用?但是,根据OP,iframe采用纯HTTP。
如果您的网页是http,则它允许使用带有https内容的iframe。
但是,如果您的页面是https,则它不允许使用http内容。
让我们放下以下可能性。
page - iframe - status
http - http - allowed
http - https - allowed
https- http - not allowed
https- https - allowed
尝试这样删除src属性值中的http:字符:
<iframe src="//example.com/thefile.htm"></iframe>
当然,这是一种解决方法,安全性很重要,因此请不要过分绕开,但是无论如何,这曾经使我克服了类似的问题。
https和支持的情况下才有效http