HTTPS安全受到威脅

Question

我在IE9下一個錯誤在我的網站：

SEC7111: HTTPS security is compromised by res://ieframe.dll/dnserrordiagoff.htm 
SEC7111: HTTPS security is compromised by res://ieframe.dll/ErrorPageTemplate.css 
SEC7111: HTTPS security is compromised by res://ieframe.dll/errorPageStrings.js 
SEC7111: HTTPS security is compromised by res://ieframe.dll/httpErrorPagesScripts.js 
SEC7111: HTTPS security is compromised by res://ieframe.dll/noConnect.png 
SEC7111: HTTPS security is compromised by res://ieframe.dll/bullet.png 

我知道這個錯誤出現，因爲我嘗試通過https協議獲得HTTP內容。但是我沒有發現任何可以在這個頁面上看到這種情況的地方。 我調查了這個問題可以通過定製瀏覽器來解決，但這個解決方案不適合。

有人知道什麼原因可以使這個錯誤？

Answer 1

確保iframe中的內容允許將其放入框架中。

例如：X框選項：SAMEORIGIN

裁判：https://developer.mozilla.org/en-US/docs/HTTP/X-Frame-Options

Answer 2

我的一個客戶在IE的各種版本最近有SEC7111: HTTPS security is compromised by res://ieframe.dll/問題直至幷包括IE11 - 可能鋒芒太，但現在它是固定的，我無法輕鬆檢查 - 而且這個問題與X-Frame-Options無關，所有涉及的站點都使用SSL，並且沒有混合的http + https內容錯誤。

在這種情況下，問題的根源在於Internet Explorer安全區域信任級別。我工作的公司爲擁有公司域名的大型組織運行大型網絡應用程序，我們的應用程序使用子域名託管，例如crm.egcorporate.com。

客戶端在www和其他子域egcorporate.com上也有他們的內部網和公共網站。他們還使用第三方在線學習管理系統，例如eglms.com，它們在同一頁上嵌入來自crm.egcorporate.com的一些內容，在兩個系統的登臺環境中工作良好，但在生產中造成公司用戶的錯誤，但僅在使用IE連接到他們的域控制器的機器上。

這個問題是因爲在他們的Active Directory組策略設置，他們不得不*.egcorporate.com設置爲本地Intranet安全區域，並eglms.com設置爲受信任的站點安全區域。由於我們的應用的生產網址位於其AD域的子域，因此它在IE中繼承了本地內網信任設置，這意味着IE不允許LMS在較低的可信級別訪問iframe 內部網內容。但IE11的愚蠢是它試圖顯示其res://ieframe.dll/ ...嵌入式錯誤頁告訴我們這一點，但然後阻止自己顯示自己的錯誤頁面，這就是SEC7111錯誤告訴我們。

在我們的情況下，解決方案是爲企業IT人員增加更具體的crm.egcorporate.com受信任的站點區規則，以他們的AD組策略（並讓用戶註銷+再次登錄），使iFrame內容和IE的框架網站都被視爲相同的信任級別。

之所以我們沒有在分級中看到同樣的問題，是因爲我們使用了一個像egcorporate.staging.mycompany.com這樣的URL，這顯然不在他們的Intranet安全區域設置中。