将消息从主 http 页面发送到 https iframe 时的安全注意事项
Security considerations in sending message from main http page to https iframe
我想让用户登录http页面,而无需将他们重定向到https。这样用户就不会在他们正在查看的页面上丢失状态。
当用户单击需要登录的内容时,页面上会弹出一个模式登录表单,询问详细信息。然后,他们可以使用 ajax 登录,模态形式消失而不会丢失状态。但是,这并不安全,密码是通过纯文本发送的。
我可以使用postMessage将用户名/密码发送到隐藏的iframe,并使用https加载位置。然后,这将安全地发送登录请求,并将成功/错误发布回主页。
在这种情况下,我是否缺少任何安全注意事项。
尤其是中间人。我是否正确地认为 http javascript 可以用中间的 man 代替,这可以用来捕获密码并在它到达 https iframe 之前发送到其他地方?
如果您正在考虑中间人攻击者,则只需使用 https。其他一切都不安全,因为攻击者能够将所有指向https资源的链接重写为常规https
或者,如果您的页面不允许该特定资源的 http,攻击者可以简单地运行一个代理,接受来自客户端的 http,并在将其发送到服务器时将其更改为 https。
即使没有中间人攻击,攻击者也可以像FireSheep或DroidSheep那样"窃取"经过身份验证的会话(通常是cookie)。在这种情况下,密码是安全的,但攻击者仍然可以在您的网页上执行所有操作,这些操作都经过身份验证为受攻击的不同用户。
相关文章:
- 防止Iframe窗体在新窗口中打开
- 将样式表插入iframe
- 在Twitter上用ie9中的空白src访问iframe的contentWindow
- 使用jQuery从原始页面内容创建iframe
- Highslide(iframe的侦听器)
- iframe正在添加标签,需要删除它们
- 将消息从主 http 页面发送到 https iframe 时的安全注意事项
- 使用 js 调整 iframe 的大小在 https 时停止工作
- 如何插入来自Chrome扩展程序的动态HTTPS源的iframe
- 从 HTTPS 父窗口访问 iframe 中的 HTTP
- 如何在https站点内允许iframe中的http站点
- 获取跨域HTTPS iFrame的父文档来源
- javascript iframe: accessing http from https
- Iframe与HTTPS视频url不工作
- 在https iframe中注册service worker时出现DOMException异常
- 混合内容https iframe出现奇怪的https问题
- JavaScript HTTPS到HTTP iFrame安全问题
- HTTPS网站上的Dailymotion iframe
- 使用 https 从子页面关闭 iframe
- Iframe JS https->http父窗口权限
