Internet explorer 为什么可以'；是否允许页面使用框架（多个域）登录？_Internet Explorer_Browser_Iframe

Internet explorer 为什么可以'；是否允许页面使用框架（多个域）登录？

internet-explorer browser iframe

Internet explorer 为什么可以'；是否允许页面使用框架（多个域）登录？,internet-explorer,browser,iframe,Internet Explorer,Browser,Iframe,我想我可能知道这个问题的答案，但我实际上是在寻找一些确凿的证据/微软关于为什么会发生这种情况的声明的链接我有一个域名“www.mycompany.com”，它是HTTP。此页面仅包含HTML，带有重定向到“application.anothercompany.com”的iFrame，即HTTPS。“application.anothercompany.com”上的页面只包含一个用户名和密码框，外加一个登录按钮 <!DOCTYPE HTML PUBLIC "-//W3C//DTD

我想我可能知道这个问题的答案，但我实际上是在寻找一些确凿的证据/微软关于为什么会发生这种情况的声明的链接

我有一个域名“www.mycompany.com”，它是HTTP。此页面仅包含HTML，带有重定向到“application.anothercompany.com”的iFrame，即HTTPS。“application.anothercompany.com”上的页面只包含一个用户名和密码框，外加一个登录按钮

    <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Frameset//EN"
    "http://www.w3.org/TR/html4/frameset.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<meta name="Author" content="">
<meta name="ROBOTS" content="ALL">
<meta name="description" content="">
<meta name="keywords" content="">
<title>My Company Name</title>

</head>
<frameset cols="100%,*">
<frame frameborder="0" src="https://application.anothercompany.com/" >
<noframes>
<body>
Frames not supported.
</body>
</noframes>
</frameset>
</html>


我的公司名称
框架不受支持。

导航到“”时，我可以在任何浏览器上成功登录

访问“”时，我无法登录到使用Internet Explorer在iFrame中显示的其他站点。不过，我可以通过Safari和Firefox做到这一点

对我来说，我想说阻止网络钓鱼攻击是Internet Explorer的一项功能——只要用户知道他们是在“而不是”输入信息。如果这是一个安全功能，那么很好，我可以接受

这些听起来都正确吗？或者有解决办法吗

为了添加更多信息，我尝试将“www.mycompany.com”添加到浏览器上的受信任站点，但这并没有纠正问题，在Internet Explorer中禁用“受保护模式”也无法纠正问题

这个问题似乎出现在IE、IE7和IE8中

我发现你可能会对Internet Explorer有点无礼，打开一个新选项卡，导航到“”并登录-然后返回到“”站点，你就可以成功登录了！虽然关闭和重新启动IE会重置所有这些

谢谢斯图

正如你所指出的，这是一个很好的例子。用户认为他们在一个域中，而您正在另一个域中“秘密”使用他们的凭据。（即使你不想遮遮掩掩……即出于安全考虑，并假定你可能是网络钓鱼或类似行为）

由于一个页面在HTTP上，另一个页面在HTTPS上，您的用户可能会看到一个“混合内容”安全警告对话框。（siderant:）

这称为跨域请求或XDR。默认情况下，它在IE7中被阻止

以下是有关该功能的MS文档：

这里有一些关于JavaScript的（好的）Yahoo文档：

据我所知，IE7中没有解决此安全功能的方法——您只能通过更改浏览器中的安全设置来执行XDR请求