Zertifikat hinzufügen Ausnahme in iframe
Habe ich ein Iframe, der eine URL enthält, ein selbst signiertes https-link. Im normalen Fall browser Fragen für Sie auf Ausnahme hinzufügen, über diesen link, aber im iframe ist es nicht erlaubt Sie auf Ausnahme hinzufügen. Es ist nur Aufforderungs-Fehler-code: sec_error_ca_cert_invalid. Eine Idee, wie man die Eingabeaufforderung für die add certificate exception in iframe bei self signed url ' s???
- Dies wäre ein unglaublich schrecklich Massiv schlechte Sicherheits-Loch. Wenn man markieren KÖNNTE, ein iframe würde Seite als 'ignoriert alle ssl-Warnungen', was gäbe es zu stoppen jemand aus der framing jede Website, die Sie wollten. wenn Sie das tun können XSS-Angriffe auf eine Website mit einem echten cert, und fügen Sie ein "sicher" iframe, Sie könnten im wesentlichen die Identität des echten Seite ohne Problem. Was Sie wollen, ist unmöglich, und musste verdammt gut, nie möglich geworden.
- Ich könnte verstehen, dass das Risiko, sondern die URL, die gerendert werden innerhalb des iframe fremde url, könnte ein selbst-signiertes Zertifikat oder es könnte auch ein self signed cert, Meine Forderung ist nicht 'ignoriert alle ssl-Warnung', SONDERN um die Wahl zu akzeptieren, die Ausnahme ist oder nicht die gleiche wie bei dieser URL öffnet sich in einem browser.
- das ist nicht etwas, das Sie tun können, in html oder auf dem server. Sie können NICHT ändern der client security-Einstellungen über einen beliebigen remote-route. Wieder, das würd öffnen Sie unglaublich hässlichen Sicherheit Probleme.
- Wie das selbst signiertes https-url sind anders, wenn es in iframe öffnen ? Wenn wir im browser öffnen, als es Fragen, für die Ausnahme und gehen, aber warum nicht Fragen Sie für die Ausnahme in iframe ? Ich denke, dass beides das gleiche Maß an Sicherheit betreffen ? entweder sollte beides nicht funktionieren, oder sollten beide funktionieren. Es ist parteiisch 😀
- Ich weiß, dass es unmöglich ist, aber ich warte auf eine Antwort, die sagt, es ist möglich von einigen hack 🙂
- Haben Sie versucht, indem Sie das Zertifikat dauerhaft in den browser keystore?
- Ja, das ist eine option. Aber der Benutzer nicht bewusst über die link, die wiedergegeben wird, indem iframe, so dass er nicht wissen, welches Zertifikat er hat, hinzufügen.
- Warum wollen Sie dies tun in den ersten Platz? Klar, das ist eine schlechte Idee für alle die bereits genannten Gründen, aber wenn Sie die post mehr info über das, was Sie versuchen zu erreichen (anstatt wie Sie versuchen, es zu tun), können wir vorschlagen, alternative Ansätze, das wäre sicherer.
Du musst angemeldet sein, um einen Kommentar abzugeben.
Ersten, der Unterschied zwischen der Aufforderung, für eine SSL Ausnahme für die root - Dokument in ein Fenster und ein Dokument in einem iframe ist eine wichtige Sicherheit Sorge. Sie beachten, der user ist sich nicht bewusst von der URL angezeigt wird (oder in diesem Fall, versuchen zu laden) in den iframe. Wenn der browser-Ausnahme-Mechanismus wurden im iframe angezeigt, die der Benutzer sehen, der browser-Adressleiste die URL des root - Dokument-auf eine ganz andere domain. Dies könnte zu Verwirrung bei den Nutzern und letztlich eine falsche und unsicher Wahl aus Sicht der Sicherheit.
Sollten Sie nicht erwarten, zu finden ein hack/workaround, dass ändert sich dieses Verhalten in modernen Browsern.
Sagte, dass, wenn ein iframe wird nicht angezeigt, die Aufforderung, die einfachste Problemumgehung ist, um eine Seite aus dem iframe-Domäne zu laden, als das Fenster Dokument-root und damit Auslöser der Eingabeaufforderung. Betrachten Sie die folgende Sequenz:
www.example.com/entry
www.dynamic.example
www.dynamic.example/redirect
www.dynamic.example/redirect
als eine normale Seite laden, als die root Dokument im browser-Fenster.sec_error_ca_cert_invalid
www.dynamic.example/redirect
dieser Zeit akzeptieren die selbst-signiertes Zertifikat gemäß den Anweisungen des Nutzers.www.dynamic.example
sollte sofort UMLEITEN zurück zu einem anderen, bekannten Ort aufwww.example.com
, sagen wir mal:www.example.com/pageWithIFrame
www.example.com/pageWithIFrame
www.dynamic.example
www.dynamic.example
's self-signed cert, die Inhalte in iframe dargestellt werden soll.Diese Lösung verwendet nur die HTTP-Umleitungen und erfordert nicht einen proxy-server oder löschen von SSL - /TLS-down auf plaintext HTTP. Es erfordert aber die Zusammenarbeit zwischen Ihrem Standort (
www.example.com
) und die anderen domains mit einem self-signed cert. Es wird nicht arbeiten, wenn andere Domäne bietet keine Möglichkeit zum umleiten an Sie zurück (z.B. die Einbettung von Inhalten ohne das domain-wissen).Die gleiche redirect-Kette funktioniert mit Websites, die certs signiert von einer vertrauenswürdigen ZERTIFIZIERUNGSSTELLE zu. In diesem Fall werden in Schritt 2 übergang zu Schritt 3 sofort ohne eingreifen des Benutzers.
www.dynamic.com
admin einrichten einer Umleitung in der server-config, oder ein nicht-admin die Fähigkeit, eine statische HTML-Datei in der Domäne SSL-geschützt URI-Raum mit einem<meta http-equiv="refresh">
tag. Und wenn der SSL-site passiert, dass "wider" leitet (d.h.GET /redirect?to=www.mydomain.com/...
) ist es möglich, ohne jede änderungGut, andere als die Bereitstellung einer angepassten Chrome/Firefox/Safari akzeptiert, selbst-signierte Zertifikate sind die einzigen Optionen, die Sie haben, ist:
Es nichts, was Sie tun können HTML - /JavaScript-Weise auf "hack Ihren Weg durch".
Bearbeiten
Weitere option ist die Einrichtung eines proxy-Servers zwischen Ihrer Anwendung (IFRAME) und der Dritte server (z.B. Apache HTTP Server als Proxy). Es könnte entweder:
Wenn Ihr webapp läuft in einem lokalen Tomcat-server (oder ähnliches) - z.B.
http://tomcat:8080/app/
- die zweite option kann verbessert werden, indem die Apache-HTTP-Server als proxy, wie diese:Müsste der Benutzer Zugriff auf nur eine URL - Apache-Proxy auf Standard-port 80 -
http://tomcat/app/
.