如果SSL页面是在非SSL页面中命名的,并且该SSL页面具有提交数据的表单,那么表单提交(POST)是否仍然安全?
如果没有,我如何确保它的安全?
谢谢。
将表单的操作显式设置为"https://..."所以它将始终转到SSL
如果SSL页面被命名为非SSL页面,并且该SSL页面具有提交数据的表单,那么表单提交(POST)是否仍然安全?
加密?对
安全吗?编号
父页面可以被中间人攻击者篡改,例如:
-
包括针对iframe的点击劫持攻击,例如覆盖虚假表单元素或提取内容(有关一系列可能的攻击,请参阅"下一代点击劫持")
-
将iframe的源更改为预期HTTPS地址之外的其他位置——另一个未受保护的HTTP连接,或者属于攻击者的HTTPS站点。浏览器没有提供一种检查普通消费者可用的iframe源的方法。
在这种情况下,可以在没有向用户指示表单没有被正常处理的情况下泄露表单内容。
如果没有,我如何确保它的安全?
唯一的答案是对父页面和iframe表单都使用HTTPS。
我相信来自安全iframe的表单提交仍然是安全的,因为我说过你容易受到中间人攻击。在非安全的主页面上注入javascript可能会破坏安全的iframe。
您也不会在浏览器中获得挂锁图标,因为网站不安全(只有iframe是)
Stackoverflow上的另一个主题解释了这一点:iframe非SSL站点上的SSL安全表单