如果SSL页面在非SSL页面中出现,并且SSL页面有一个提交数据的表单,那么表单提交(POST)是否仍然安全?
如果不是,我该如何确保安全?
感谢。
答案 0 :(得分:1)
将表单的操作明确设置为“https:// ...”,以便它始终通过SSL
答案 1 :(得分:1)
如果SSL页面在非SSL页面中出现,并且SSL页面有一个提交数据的表单,那么表单提交(POST)是否仍然安全?
加密?是
安全的?号
中间攻击者可以篡改父页面,例如:
包含针对iframe的点击劫持攻击,例如覆盖虚假表单元素或提取内容(请参阅“下一代点击劫持”以获取一系列可能的攻击)
将iframe的源更改为除预期HTTPS地址之外的其他位置 - 另一个不受保护的HTTP连接或属于该攻击者的HTTPS站点。浏览器不提供检查可供普通消费者使用的iframe源的方法。
在这种情况下,表单内容可能会受到损害,而不会向用户表明表单未正常处理。
如果不是,我该如何确保安全?
唯一的答案是对父页面和iframe表单都使用HTTPS。
答案 2 :(得分:0)
我相信来自安全iframe的表单提交仍然是安全的,因为你说在中间攻击中你容易受到攻击。主要的非安全页面上的javascript注入可能会破坏安全的iframe。
如果网站不安全(只有iframe),您也不会在浏览器中看到挂锁图标
Stackoverflow上的另一个主题解释了这一点:iframe an SSL secured form on a non SSL site