Https sitesinde iframe içinde http içeriğine nasıl izin verilir?

Bir iframe içine bazı HTML yükleyin ama başvurulan bir dosya http, https değil kullanırken, aşağıdaki hatayı alıyorum:

[bloke] {current_pagename} adresindeki sayfa, {reference_filename} kaynağından güvenli olmayan içerik yayınladı

Bunu kapatmanın herhangi bir yolu var mı veya etrafta dolaşmanın bir yolu var mı?

İframe'in bir özelliği yoktur srcve içindekiler aşağıdakiler kullanılarak ayarlanır:

frame.open();
frame.write(html);
frame.close();

Bu sorunun genelliğine dayanarak, bazı HTTPS proxy'nizi çevrimiçi olarak bazı sunuculara kurmanız gerektiğini düşünüyorum. Aşağıdaki adımları uygulayın:

• Proxy sunucunuzu hazırlayın - IIS'yi yükleyin, Apache
• Güvenlik hatalarını önlemek için geçerli SSL sertifikası alın (örneğin startssl.com'dan ücretsiz)
• Güvenli olmayan içeriği indirecek bir sarmalayıcı yazın (nasıl yapılır)
• Sitenizden / uygulamanızdan https://yourproxy.com/?page=http://insecurepage.com adresini edinin.

Uzak site içeriğini file_get_contents veya benzer bir yöntemle indirirseniz, yine de içeriğe güvenli olmayan bağlantılarınız olabilir. Onları regex ile bulmalı ve değiştirmelisiniz. Görüntüleri çözmek zordur, ancak burada geçici bir çözüm bulundu: http://foundationphp.com/tutorials/image_proxy.php

Not: Bu çözüm, 2014 yılında yazıldığında bazı tarayıcılarda çalışmış olsa da, artık çalışmaz. iframeÇerçeve bir HTTPS URL'si ile başlasa bile, HTTPS sayfasına katıştırılmış bir HTTP URL'sinde gezinmeye veya yönlendirmeye modern tarayıcılar tarafından izin verilmez.

Oluşturduğum en iyi çözüm, google'ı ssl proxy olarak kullanmaktır ...

https://www.google.com/search?q=%http://yourhttpsite.com&btnI=Im+Feeling+Lucky

Firefox'ta test edildi ve çalışıyor.

Öbür metodlar:

• Embed.ly gibi bir Üçüncü taraf kullanın (ancak bu yalnızca iyi bilinen http API'leri için iyidir).

• Kontrol ettiğiniz bir https sayfasında kendi yönlendirme komut dosyanızı oluşturun (göreli bağlantılı bir sayfada basit bir javascript yönlendirmesi işe yarayacaktır. Gibi bir şey: (herhangi bir dil / yöntem kullanabilirsiniz)

  https://example.com Bunun bir iframe bağlantısı var ...

  https://example.com/utilities/redirect.html Hangi gibi basit bir js yönlendirme komut dosyası var ...

  document.location.href ="http://thenonsslsite.com";

• Alternatif olarak, http sitesini okumak ve https sitenizde görüntülemek için bir RSS beslemesi ekleyebilir veya okuyucu / ayrıştırıcı yazabilirsiniz.

• Ayrıca http site sahibine bir ssl bağlantısı oluşturmasını tavsiye edebilir / etmelisiniz. Başka bir sebepten ötürü seo artarsa .

Http site sahibine bir ssl sertifikası oluşturamazsanız, en güvenli ve kalıcı çözüm, ihtiyacınız olan içeriği alan bir RSS feed'i oluşturmak olacaktır (muhtemelen http sitesinde aslında bir şey yapmıyorsunuzdur) herhangi bir sistemde oturum açmama).

Asıl sorun, bir https sitesi içinde http öğelerine sahip olmanın bir güvenlik sorununu temsil etmesidir. Bu güvenlik riski etrafında tamamen koşuşturacak yollar yoktur, bu yüzden yukarıdakiler sadece güncel çalışmalardır.

Çoğu tarayıcıda bu güvenlik önlemini devre dışı bırakabileceğinizi unutmayın (başkaları için değil, kendiniz). Ayrıca bu 'hack'lerin zamanla eski haline gelebileceğini unutmayın.

Bu eski bir yazı olduğunu biliyorum, ama başka bir çözüm cURL kullanmak olacaktır, örneğin:

redirect.php:

<?php
if (isset($_GET['url'])) {
    $url = $_GET['url'];
    $ch = curl_init();
    $timeout = 5;
    curl_setopt($ch, CURLOPT_URL, $url);
    curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, $timeout);
    $data = curl_exec($ch);
    curl_close($ch);
    echo $data;
}

sonra iframe etiketinizde, şuna benzer:

<iframe src="/redirect.php?url=http://www.example.com/"></iframe>

Bu fikri göstermek için sadece bir MINIMAL örneğidir - URL'yi sterilize etmez veya redirect.php dosyasını kendi amaçları için kullanmasını engellemez. Bunları kendi siteniz bağlamında düşünün.

Olsa da, daha esnek olmasıdır. Örneğin, göstermeden önce gerçekten istediğiniz şey olduğundan emin olmak için curl'd $ verilerinin bir doğrulamasını ekleyebilirsiniz - örneğin, 404 olmadığından emin olmak için test edin ve varsa kendi hazır içeriğinize sahip olun dır-dir.

Artı - Önemli bir şey için Javascript yönlendirmelerine güvenmekten biraz yoruldum.

Şerefe!

<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">kafasına ekle

başvuru: http://thehackernews.com/2015/04/disable-mixed-content-warning.html

tarayıcı uyumluluğu: http://caniuse.com/#feat=upgradeinsecurerequests

Https sayfasında güvenli olmayan içerik görüntülemeye çalışırken çoğu tarayıcıda her zaman engellenen içerikle ilgili uyarılar alırsınız. SSL olmayan diğer sitelerden bir şeyler yerleştirmek istiyorsanız bu zordur. Uyarıları kapatabilir veya kendi tarayıcınızdaki engellemeyi kaldırabilirsiniz, ancak diğer ziyaretçiler için bu bir sorundur.

Bunu yapmanın bir yolu, içerik sunucusu tarafını yüklemek ve görüntüleri ve diğer şeyleri sunucunuza kaydetmek ve https'den görüntülemektir.

Ayrıca embed.ly gibi bir hizmeti kullanmayı deneyebilir ve içeriği bunlardan alabilirsiniz. İçeriği https'nin arkasına alma desteği var.

Google'ı SSL proxy olarak kullanmak şu anda çalışmıyor,

Neden?

Google'dan herhangi bir sayfa açtıysanız x-frame-options, başlıkta bir alan olduğunu görürsünüz .

X-Frame-Options HTTP yanıt başlığı Bir tarayıcı içinde sayfayı görüntülemeye izin verilmelidir olup olmadığını belirtmek için kullanılabilir <frame>, <iframe>ya da <object>. Siteler, içeriklerinin başka sitelere yerleştirilmediğinden emin olarak, tıklama saldırılarını önlemek için bunu kullanabilir.

(MDN'den alıntı)

Çözümlerden biri

Bu soruna yönelik çalışmam aşağıdadır:

İçeriği AWS S3'e yükleyin, kaynak için bir https bağlantısı oluşturur.
Uyarı: html dosyasının iznini herkesin görüntülemesine izin vermek için ayarlayın.

Bundan sonra src, https web sitelerinde iframe olarak kullanabiliriz .

PHP veya başka bir sunucu tarafı dili ile ihtiyacınız olan her şeyi kazımayı deneyebilir, ardından iframe'i kazınmış içeriğe koyabilirsiniz. İşte PHP ile bir örnek:

scrapedcontent.php:

<?php
$homepage = file_get_contents('http://www.example.com/');
echo $homepage;
?>

index.html:

<iframe src="scrapedcontent.php"></iframe>

Yapmanız gereken tek şey Google'ı bir Proxy sunucusu olarak kullanmak.

https://www.google.ie/gwt/x?u=[YourHttpLink] .

<iframe src="https://www.google.ie/gwt/x?u=[Your http link]"></frame>

Benim için çalıştı.

Kredi: - https://www.wikihow.com/Use-Google-As-a-Proxy

Kendi HTTPS-HTTP ters proxy'nizi kullanın.

Kullanım durumunuz, içine yerleştirmek için nadiren değişen URL'lerden iframeoluşuyorsa, kendi sunucunuzda bunun için ters bir proxy ayarlayabilir ve httpssunucunuzdaki bir httpURL'nin proxy sunucusundaki bir URL ile eşleşeceği şekilde yapılandırabilirsiniz . Ters proxy tamamen sunucu tarafı olduğundan, tarayıcı gerçek web sitesinin bir proxy'si ile "sadece" konuştuğunu bulamaz ve bu nedenle proxy bağlantısı SSL'yi doğru kullandığından şikayet etmeyecektir.

Örneğin, web sunucunuz olarak Apache2 kullanıyorsanız, ters proxy oluşturmak için bu talimatlara bakın .