在http站點的iframe中加載https站點

Question

我們希望將我們的平臺的頁面加載到客戶站點上的iframe中。我們的平臺包含SSL證書，並始終以HTTPS運行。客戶端的網站運行在HTTP上。

加載到iframe中的URL包含用戶名稱的URL參數。由於iframe中的網站是HTTPS，還是可以訪問這些url參數，因爲這些參數是在客戶端HTTP網站上創建的，因此這些url參數是發送加密的嗎？

簡短示例： 客戶端網站（HTTP）加載帶有url「https://oursite.com/?firstname=Bob&lastname=Forrest」的iframe。 URL參數傳輸到iframe站點時是否加密？

在此先感謝。

Answer 1

URL參數將被加密。 SSL位於HTTP層和TCP層之間，因此瀏覽器將在交換任何數據之前首先建立到服務器的TCP連接。所有數據（包括帶有URL參數的請求）都將被加密。

通常還是建議不要在URL中傳遞敏感信息，因爲它很可能會以純文本形式存儲在服務器日誌中。