Security 在SSL页面中使用SSL iframe有什么危险_Security_Iframe_Ssl

Security 在SSL页面中使用SSL iframe有什么危险

security iframe ssl

Security 在SSL页面中使用SSL iframe有什么危险,security,iframe,ssl,Security,Iframe,Ssl,在SSL页面中使用SSL iframe是否安全。SSL框架包含一个表单。HTTPS提供的安全性的一个重要部分是验证与您交谈的服务器的身份。这是由我们自己完成的虽然验证的大多数方面都是在浏览器中进行的（PKI验证和主机名匹配验证），但最后一步是从用户界面的角度来看的，必须由用户直观地完成。检查用户在打算使用HTTPS时是否正确使用HTTPS完全是他们的责任如果您打算转到https://www.google.com/，但键入了https://www.g-o-o-o-o-o-gle.com，两者都

在SSL页面中使用SSL iframe是否安全。SSL框架包含一个表单。

HTTPS提供的安全性的一个重要部分是验证与您交谈的服务器的身份。这是由我们自己完成的

虽然验证的大多数方面都是在浏览器中进行的（PKI验证和主机名匹配验证），但最后一步是从用户界面的角度来看的，必须由用户直观地完成。检查用户在打算使用HTTPS时是否正确使用HTTPS完全是他们的责任

如果您打算转到

https://www.google.com/

，但键入了

https://www.g-o-o-o-o-o-gle.com

，两者都可以拥有真正的证书（现在任何人都可以获得证书，即使攻击者，回报也值得投资）。这取决于用户，以确保他们访问的网站，他们打算访问

通过将带有

https://

链接的iframe嵌入另一个页面（事实上是https还是非https），您阻止了用户验证他们是否连接到了预期的站点。期望用户检查页面DOM以确保请求到达他们期望的主机是不现实的。在这个阶段，用户很难验证iframe中站点的身份：他们必须信任嵌入者

这方面的一个好的坏的例子来自银行业，这给了我们更多的机会。商户网站是指在iframe中包含银行提供的页面，要求您输入密码以检查信用卡的使用情况。然而，作为一个用户，你必须对商家网站给予很大的信任，因为它可以很好地将你重定向到其控制下的网站，并将所有请求代理到真正的银行网站。它看起来与真正的银行网站一模一样，但商户（或合伙人）可以看到您键入的所有内容。并不是每个用户都可以使用像Firebug这样的开发工具（即使对于开发人员来说，如果涉及到一点JS，也很难跟踪正在发生的事情）。（这有点遗憾，因为该系统的目标之一正是防止针对不良商户网站的欺诈。）

如果在HTTPS页面中嵌入HTTPS iframe，则可以有效地保证其内容及其交互（就像嵌入的任何其他内容一样）。用户只能验证您的证书，而不能验证嵌入的证书。这需要承担一定的责任。

是同一个领域吗？如果不是的话，我想可能会有一些有趣的浏览器问题…谢谢你的回答。在这种情况下，我是商家，在网上商店填写订单时，我会尽力保护我的客户免受第三方的危险。我的客户是否必须担心这些第三方危险（黑客）？