我准备将ssl证书添加到heroku上托管的rails应用程序,因此我可以激活条带付款。
我们的应用程序的主要功能是让用户创建可嵌入的小部件。小部件本质上是他们在我们的rails应用程序中创建的对象的视图的iframe。
我们绝大多数用户的网站都使用http,我担心如果我们将应用域名切换为https,他们嵌入的iframed小部件就会停止工作。
是否可以为我们的应用设置一个安全的域名,让用户只使用http来嵌入使用源网址的应用的iframe部分的小部件?
答案 0 :(得分:0)
您只能在某些路线上强制执行SSL。
scope constraints: { protocol: "https" } do
# routes you'd like secured
end
然后,不要为整个网站启用force_ssl
,其他组件应该是不安全的。
答案 1 :(得分:0)
指向http://网址的iframe应该重定向到https://,所以我没有遇到任何问题。
如果您的表单的操作属性为http://,则可能会出现问题,因为重定向不会使用POST数据。