在http网站上iframing https网站?

时间:2015-05-07 13:40:06

标签: ruby-on-rails iframe heroku

我准备将ssl证书添加到heroku上托管的rails应用程序,因此我可以激活条带付款。

我们的应用程序的主要功能是让用户创建可嵌入的小部件。小部件本质上是他们在我们的rails应用程序中创建的对象的视图的iframe。

我们绝大多数用户的网站都使用http,我担心如果我们将应用域名切换为https,他们嵌入的iframed小部件就会停止工作。

是否可以为我们的应用设置一个安全的域名,让用户只使用http来嵌入使用源网址的应用的iframe部分的小部件?

2 个答案:

答案 0 :(得分:0)

您只能在某些路线上强制执行SSL。

scope constraints: { protocol: "https" } do
  # routes you'd like secured
end

然后,不要为整个网站启用force_ssl,其他组件应该是不安全的。

答案 1 :(得分:0)

指向http://网址的iframe应该重定向到https://,所以我没有遇到任何问题。

如果您的表单的操作属性为http://,则可能会出现问题,因为重定向不会使用POST数据。