Ci sono problemi di sicurezza con l'incorporamento di un iframe HTTPS su una pagina HTTP?

Se solo l'iframe è https, l'utente non può banalmente vedere l'URL a cui punta. Pertanto, la pagina http di origine potrebbe essere modificata per puntare l'iframe ovunque lo desideri. Questa è praticamente una vulnerabilità di gioco che elimina i vantaggi di https.

iFrames esporrà il sito HTTPS interno a numerosi attacchi javascript e cookie nei browser più vecchi e potrebbe causare problemi nei nuovi browser.

Per risolvere il problema, cerca "Frame Busting" per rilevare se iFrame vengono utilizzati. Considera questa soluzione su StackOverflow:

link

In quel codice, puoi rilevare se iFrame vengono utilizzati e offrire contenuti alternativi per indirizzare l'utente al sito appropriato.

Un iframe HTTPS all'interno di una pagina pubblicata su HTTP non consente all'utente di essere sicuro che stia effettivamente utilizzando la connessione HTTPS che si aspetta ; pertanto, questo potenzialmente permette che l'iframe venga dirottato in un attacco semplice come un'iniezione di iframe. Ciò consentirebbe la raccolta di password, tra le altre cose. Un simile attacco potrebbe iniziare attraverso un Trojan, un virus o semplicemente visitando un sito Web dannoso.

Sì, mentre i browser più recenti eseguono correttamente la sandbox delle parti SSL, si sta compromettendo tutte le funzionalità aggiunte al browser chrome per fornire il feedback degli utenti sui contenuti. Io per primo non fornirei informazioni sensibili senza controllare l'URL visualizzato nel mio browser.

Oltre ai possibili scenari di dirottamento già forniti, è possibile che si verifichino problemi in IE6 / 7 se si punta a una pagina HTTP o HTTPS che richiede l'accesso. Fondamentalmente, i cookie dalla pagina dell'iframe si aspettano che tu stia usando lo stesso protocollo (HTTP o HTTPS) e quindi se la pagina su cui stai impostando iframe sta usando HTTP invece di HTTPS, impedirebbe all'utente di essere in grado di accedi.