從主http頁面向https iframe發送消息時的安全考慮

Question

我想讓用戶無需將其重定向到http頁面即可登錄到http頁面。這是爲了使用戶在他們正在查看的頁面上不會鬆動狀態。

當用戶點擊某些需要登錄的內容時，會在頁面上彈出一個模態登錄表單，詢問詳細信息。然後他們可以使用ajax登錄，模態形式消失而不會丟失狀態。然而，這是不安全的，密碼正在通過純文本發送。

我可以使用postMessage將用戶名/密碼發送到使用https加載位置的隱藏iframe。然後，它會安全地發送登錄請求並將成功/錯誤發回主頁面。

我在這種情況下缺少任何安全考慮。

特別是男人在中間。我是否認爲http javascript可以在中間使用man來代替，這可以用來捕獲密碼並在甚至到達https iframe之前發送到其他地方？

Answer 1

如果你正在考慮一箇中間人攻擊者，你只能使用https。如果攻擊者有能力將https資源的所有鏈接重寫爲常規https

或者如果您的頁面不允許該特定資源的http攻擊者可以簡單地運行代理接受來自客戶端的http並在將其發送到服務器時將其更改爲https。

即使沒有中間人攻擊，攻擊者也可以通過FireSheep或DroidSheep的方式「竊取」經過身份驗證的會話（通常是cookies）。在這種情況下，密碼是安全的，但攻擊者仍然可以將您網頁上的所有事情都認證爲受到攻擊的不同用戶。