我在网站上有一个页面,其中包含iframe中的安全表单。虽然提交的表单数据是安全的,但页面看起来并不安全,因为浏览器中的URL只是HTTP。我可以做些什么来向用户表明表单是否安全?
答案 0 :(得分:18)
虽然提交的表单数据是安全的
它可能加密也可能不加密。但它不安全,浏览器绝对正确拒绝你的挂锁图标。
如果父页面是http,那么中间人攻击很容易改变该页面,将通常安全的<iframe>指向一个完全不同的服务器预期的一个。或者,父页面可能已经注入了JavaScript,以记录您在表单中创建的任何按键,并将它们发送给攻击者的服务器。
用户无法检查是否发生这种情况,无法查看页面源并阅读和理解其中的每一行标记和脚本。这绝对是不现实的。
如果您不在https保护所有内容的网页上,则无论表单action指向何处,该页面的任何提交都是不安全的。
答案 1 :(得分:13)
在新窗口中打开表单或在安全服务器上托管容器页面。用户有权对托管所谓安全页面的不安全页面持怀疑态度 - 这实际上是在乞求XSS攻击。
答案 2 :(得分:2)
主页是否受到保护,将https安全页面放在iframe中并不是一个好主意。甚至https页面也不会受到xss和MIM攻击的攻击。避免混淆您的网络浏览器正在与之通信的域/网络服务器的唯一方法是直接访问源页面 - 即您尝试将其放入iframe中的页面。
iframe是一种快速包含来自其他网页/网站的内容的便捷方式,但它们为不诚实的人提供了大量机会!
答案 3 :(得分:0)
什么都不会触发通常的浏览器“这是安全的”指标。