Errore di contenuto misto in IE11 - Risorsa HTTPS su pagina HTTP

5

Ho una pagina web HTTP con un pezzo di JavaScript che aggiunge un iframe alla pagina. L'iframe punta a una pagina HTTPS. Nella console degli sviluppatori di IE11, viene visualizzato questo errore:

SEC7111: la sicurezza HTTPS è compromessa dal link .

Questo non è il tipico avviso del browser di contenuto misto quando una pagina HTTPS carica una risorsa HTTP. Questo è il contrario ( risorsa HTTPS su una pagina HTTP ). Né Chrome né Firefox danno alcun avvertimento su questa pagina. Solo IE11 dà l'errore . L'impostazione di IE11 è la richiesta di contenuto misto, ma in realtà non richiede e in realtà sta caricando l'iframe HTTPS. L'unica indicazione del contenuto misto in IE11 è l'errore nella console degli sviluppatori.

Domanda 1: la presenza di una risorsa HTTPS su una pagina HTTP potrebbe causare problemi? Esistono altri browser che potrebbero rifiutare di caricare l'iframe o visualizzare un messaggio / finestra di dialogo che richiede se caricare contenuto misto? Idealmente mi piacerebbe che l'iframe venisse caricato e che non ci fossero avvisi del browser. Il mio istinto è che il caricamento dei contenuti HTTPS su una pagina HTTP dovrebbe essere accettabile, il che è certo perché Firefox e Chrome non visualizzano alcun messaggio.

È interessante notare che ho attraversato alcune pagine Web HTTP con un tag di script HTTPS. Ad esempio, un tag script per link su una pagina HTTP. IE11 non fornisce errori nella console degli sviluppatori su questa pagina. Poiché sia il tag script sia il tag iframe sono considerati tag di contenuto "attivi" misti, mi aspetto che anche IE11 generi un errore per questo tag script HTTPS, ma non lo fa. Domanda 2, qual è la ragione per cui IE11 non segnala un errore di contenuto misto in questo scenario?

    
posta Ben Amada 26.11.2015 - 02:31
fonte

1 risposta

1

Nel caso di un iFrame HTTPS da un dominio diverso, si accede a due fonti di informazioni distinte. Lo scopo del messaggio di errore di Microsoft nella console degli sviluppatori potrebbe essere proprio quello di ricordare agli sviluppatori inesperti che l'origine delle informazioni nell'IFTPS HTTPS potrebbe richiedere una protezione migliore.

Nel caso di uno script HTTPS non si accede ad alcuna fonte di informazione aggiuntiva diversa dalla pagina HTTP principale, perché gli script di domini di terze parti sono comunemente usati principalmente per il caricamento di librerie. In tal caso non esiste alcuna fonte di informazioni sicure che necessiti di una protezione migliore.

Nota a margine, credo che il caricamento di iFrame, script e risorse HTTPS dalle pagine HTTP sia ancora consigliabile perché impedisce attacchi a livello di backbone e provider Internet.

    
risposta data 08.04.2018 - 11:27
fonte

Leggi altre domande sui tag