在不安全的文档中保护iframe?

时间:2010-07-20 01:30:27

标签: security iframe

我正在为体育中心建立一个网站。注册通过第三方软件程序处理。可以选择直接通过第三方网站注册,或将注册表单与iframe集成到我的网站。

由于我不想将人们发送到其他网站,因此我使用了iframes选项。我的问题是,我是否可以确定人们在iframe中获得的安全级别与完全安全的第三方网页相同?

谢谢。

1 个答案:

答案 0 :(得分:1)

此设计确实让您更容易SSLStrip。我推荐观看Moxie Marlenspike's Talk的视频。虽然在实践中这种攻击并不常见。

此iframe不会违反OWASP A9: Insufficient Transport Layer Protection。但是,如果您计划让人们登录HTTP站点,或者您通过HTTP传输会话ID,那么这将是OWASP A9的明显违规

简而言之,https绝对有必要保护您的用户。