正在加载...
2012-10
9
发表于: Web前端 | 作者: | 目前已阅读: 3,854 次
标签:

由于最近站点遇到了运营商或局部代理商恶意攻击窃取密码等敏感信息的攻击,HTTPS登录是相对安全和容易的探索。因为我们登录的普遍场景是内嵌到iframe里,故这里先对跨域嵌入和跳转做了简单的测试。结论如下:

 

  1. 禁用脚本后,meta跳转都会遇到问题。
  2. ie6整体的安全提示都非常强,会干扰用户。在IE7后开始做了改进。
  3. ie6下google点击登录也是会提示安全问题的。
  4. 对于https页面内引用http协议的东西也是会提示的。
  5. IE6 低因为域安全限制不可设置,故未测试完整。
  6. 通常情况下,cookie都是http,https可读的,但是可以设置secure参数只允许https可读。

 

各个浏览器情况如下:

ie6:

Ie6

高(禁用脚本)
HTTP跳转到HTTPS

提示:您将离开安全的internet连接

HTTPS跳转到HTTP
提示:您将离开安全的internet连接

内嵌IFRAME
提示:通过安全通道查看网页

ie7:

Ie7

中高 高(禁用脚本)
HTTP跳转到HTTPS

NO

NO

HTTPS跳转到HTTP

NO

NO

ie8:

Ie8

中高 高(禁用脚本)
HTTP跳转到HTTPS

NO

NO

HTTPS跳转到HTTP

NO

NO

内嵌IFRAME

NO

NO

 

其他浏览器

Chrome

firefox

safari

HTTP跳转到HTTPS

NO

NO

NO

HTTPS跳转到HTTP

NO

NO

NO

内嵌IFRAME

NO

NO

NO

: http://www.webryan.net/2012/10/warning-tips-testing-for-crossing-domain-https/

本文相关评论 - 才一条评论
2012-10-23 11:07:21

沙发~
学习了~

[回复]