iframe - 嵌套在非安全页面上的安全 IFRAME

Question

我有一个客户，由于特定原因，需要在 HTTP 页面上放置一个指向 HTTPS 页面的 IFRAME。 HTTP 页面托管在与 HTTPS 页面不同的域和服务器上，但都属于同一客户端。

撇开为什么不应该这样做的原因不谈，我发现在实践中很难实现。

如本页所示:http://www.clevelandutilities.com/obppay.htm HTTP 页面上有一个 HTTPS IFRAME，浏览器(Firefox 或 IE)没有任何警告。但是，如果我尝试相同的方法，Firefox 和 IE 都会提示证书。

关于这是为什么的任何想法？我已经检查了该示例站点的源代码，看不出有什么特别之处，但如果我尝试同样的事情，我就会大吵大闹。此外，如果我输入他们正在使用的域 ( https://www.paybill.com/cu/ )，它不会提示 - 如果我输入我们的域，它会提示。 所有 SSL 证书都是一样的吗？

归根结底，这可以在没有警告的情况下工作:

<iframe src="https://www.paybill.com/cu/" width="100%" height="600" scrolling="auto"></iframe>  

这不是:

<iframe src="https://www.myclientdomain.com/somepage.php" width="100%" height="600" scrolling="auto"></iframe>

此外，我们使用 IFRAME 风格的 Facebook 应用程序通过管道连接到同一个 HTTPS 页面，并且没有关于 SSL 证书的投诉。啊？!

Answer 1

深入挖掘后，我们发现该证书是特定于 www.myclientdomain.com 的，负责开发人员使用了 ...src="https://myclientdomain .com"... 在 IFRAME 中。这导致出现以下“连接不受信任”错误屏幕:

主机域的常见做法是从不在 URL 中使用“www”(使用 .htaccess 强制执行)，而源域(带有证书的那个)的标准是始终使用它(使用 .htaccess 强制执行)。 htaccess)。这就是导致其他开发人员放弃它的原因 - 这就是他的网站习惯的做法。

如果为源域单击“我了解风险”甚至一次并添加证书异常(exception)，此后的任何访问都会进入 htaccess 并被重定向到 www-，这就是为什么在我的(和另一个开发人员的)计算机页面可以正常加载并在 Firebug 中检查正常，而我们的老板收到警告。过去我们都(显然)出于某种原因添加了异常(exception)。

当我们把它放在一起时，那是一个真正的捂脸时刻。感谢任何考虑过这个问题的人，很抱歉没有足够仔细地检查细节。 :)