Cách cho phép nội dung http trong iframe trên trang web https

Tôi tải một số HTML vào iframe nhưng khi tệp được tham chiếu đang sử dụng http, không phải https, tôi gặp lỗi sau:

[bị chặn] Trang tại {current_pagename} đã chạy nội dung không an toàn từ {Referenceenced_filename}

Có cách nào để tắt cái này hay có cách nào để khắc phục nó không?

Khung nội tuyến không có srcthuộc tính và nội dung được đặt bằng:

frame.open();
frame.write(html);
frame.close();

Dựa trên tính tổng quát của câu hỏi này, tôi nghĩ rằng bạn sẽ cần thiết lập proxy HTTPS của riêng mình trên một số máy chủ trực tuyến. Thực hiện các bước sau:

• Chuẩn bị máy chủ proxy của bạn - cài đặt IIS, Apache
• Nhận chứng chỉ SSL hợp lệ để tránh các lỗi bảo mật (ví dụ: miễn phí từ startedsl.com)
• Viết một trình bao bọc, sẽ tải xuống nội dung không an toàn (cách bên dưới)
• Từ trang web / ứng dụng của bạn, hãy truy cập https://yourproxy.com/?page=http://insecurepage.com

Nếu bạn chỉ cần tải xuống nội dung trang web từ xa thông qua file_get_contents hoặc tương tự, bạn vẫn có thể có các liên kết không an toàn đến nội dung. Bạn sẽ phải tìm chúng với regex và cũng có thể thay thế. Hình ảnh rất khó để giải quyết, nhưng tìm thấy cách giải quyết ở đây: http://foundationphp.com/tutorials/image_proxy.php

Lưu ý: Mặc dù giải pháp này có thể đã hoạt động trong một số trình duyệt khi nó được viết vào năm 2014, nhưng nó không còn hoạt động. Điều hướng hoặc chuyển hướng đến một URL HTTP trong một trang iframeđược nhúng trong trang HTTPS không được các trình duyệt hiện đại cho phép, ngay cả khi khung bắt đầu với URL HTTPS.

Giải pháp tốt nhất tôi tạo ra là chỉ cần sử dụng google làm proxy ssl ...

https://www.google.com/search?q=%http://yourhttpsite.com&btnI=Im+Feeling+Lucky

Đã thử nghiệm và hoạt động trong firefox.

Các phương pháp khác:

• Sử dụng một bên thứ ba, chẳng hạn như embed.ly (nhưng nó thực sự chỉ tốt cho các API http nổi tiếng).

• Tạo tập lệnh chuyển hướng của riêng bạn trên một trang https mà bạn kiểm soát (một chuyển hướng javascript đơn giản trên một trang được liên kết tương đối sẽ thực hiện thủ thuật. Một cái gì đó như: (bạn có thể sử dụng bất kỳ ngôn ngữ / phương thức nào)

  https://example.com Điều đó có iframe liên kết đến ...

  https://example.com/utilities/redirect.html Trong đó có một kịch bản chuyển hướng js đơn giản như ...

  document.location.href ="http://thenonsslsite.com";

• Ngoài ra, bạn có thể thêm nguồn cấp RSS hoặc viết một số trình đọc / phân tích cú pháp để đọc trang web http và hiển thị nó trong trang web https của bạn.

• Bạn cũng có thể / nên đề xuất với chủ sở hữu trang web http rằng họ tạo kết nối ssl. Nếu không vì lý do nào khác, nó làm tăng seo .

Trừ khi bạn có thể khiến chủ sở hữu trang web http tạo chứng chỉ ssl, giải pháp an toàn và lâu dài nhất là tạo một nguồn cấp RSS lấy nội dung bạn cần (có lẽ bạn không thực sự 'làm' bất cứ điều gì trên trang web http - đó là nói không đăng nhập vào bất kỳ hệ thống nào).

Vấn đề thực sự là việc có các yếu tố http trong trang web https thể hiện vấn đề bảo mật. Không có cách nào hoàn toàn nghiêm trọng hơn về rủi ro bảo mật này, vì vậy, đây chỉ là những công việc hiện tại xung quanh.

Lưu ý rằng bạn có thể vô hiệu hóa biện pháp bảo mật này trong hầu hết các trình duyệt (chính bạn, không phải cho người khác). Cũng lưu ý rằng những 'hack' này có thể trở nên lỗi thời theo thời gian.

Tôi biết đây là một bài viết cũ, nhưng một giải pháp khác sẽ là sử dụng cURL, ví dụ:

redirect.php:

<?php
if (isset($_GET['url'])) {
    $url = $_GET['url'];
    $ch = curl_init();
    $timeout = 5;
    curl_setopt($ch, CURLOPT_URL, $url);
    curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, $timeout);
    $data = curl_exec($ch);
    curl_close($ch);
    echo $data;
}

sau đó trong thẻ iframe của bạn, một cái gì đó như:

<iframe src="/redirect.php?url=http://www.example.com/"></iframe>

Đây chỉ là một ví dụ TỐI THIỂU để minh họa ý tưởng - nó không vệ sinh URL, cũng như không ngăn người khác sử dụng redirect.php cho mục đích riêng của họ. Hãy xem xét những điều này trong bối cảnh của trang web của riêng bạn.

Tuy nhiên, ưu điểm là nó linh hoạt hơn. Ví dụ: bạn có thể thêm một số xác thực của dữ liệu $ curl'd để đảm bảo đó thực sự là những gì bạn muốn trước khi hiển thị nó - ví dụ: kiểm tra để đảm bảo đó không phải là 404 và có sẵn nội dung thay thế nếu bạn muốn Là.

Thêm vào đó - Tôi hơi mệt mỏi khi dựa vào chuyển hướng Javascript cho bất cứ điều gì quan trọng.

Chúc mừng!

thêm <meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">vào đầu

tham khảo: http://thehackernews.com/2015/04/disable-mixed-content-warning.html

khả năng tương thích của trình duyệt: http://caniuse.com/#feat=upTHERinsecurerequests

Bạn sẽ luôn nhận được cảnh báo về nội dung bị chặn trong hầu hết các trình duyệt khi cố gắng hiển thị nội dung không an toàn trên trang https. Điều này thật khó khăn nếu bạn muốn nhúng nội dung từ các trang web khác không đứng sau ssl. Bạn có thể tắt các cảnh báo hoặc xóa chặn trong trình duyệt của riêng bạn nhưng đối với những khách truy cập khác thì đó là một vấn đề.

Một cách để làm điều đó là tải phía máy chủ nội dung và lưu hình ảnh và những thứ khác vào máy chủ của bạn và hiển thị chúng từ https.

Bạn cũng có thể thử sử dụng một dịch vụ như embed.ly và nhận nội dung thông qua chúng. Họ có hỗ trợ để có được nội dung đằng sau https.

Sử dụng Google làm proxy SSL hiện không hoạt động,

Tại sao?

Nếu bạn mở bất kỳ trang nào từ google, bạn sẽ thấy có một x-frame-optionstrường trong tiêu đề.

X-Frame-Options tiêu đề HTTP phản ứng có thể được sử dụng để cho biết hay không một trình duyệt nên được cho phép để làm cho một trang trong một <frame>, <iframe>hoặc <object>. Các trang web có thể sử dụng điều này để tránh các cuộc tấn công nhấp chuột, bằng cách đảm bảo rằng nội dung của chúng không được nhúng vào các trang web khác.

(Trích dẫn từ MDN)

Một trong những giải pháp

Dưới đây là công việc của tôi cho vấn đề này:

Tải nội dung lên AWS S3 và nó sẽ tạo liên kết https cho tài nguyên.
Lưu ý: đặt quyền cho tệp html để cho phép mọi người xem nó.

Sau đó, chúng tôi có thể sử dụng nó làm srciframe trong các trang web https.

Bạn có thể thử cạo bất cứ thứ gì bạn cần với PHP hoặc ngôn ngữ phía máy chủ khác, sau đó đặt iframe vào nội dung bị loại bỏ. Đây là một ví dụ với PHP:

scrapedcontent.php:

<?php
$homepage = file_get_contents('http://www.example.com/');
echo $homepage;
?>

index.html:

<iframe src="scrapedcontent.php"></iframe>

Tất cả những gì bạn cần làm chỉ là sử dụng Google làm máy chủ Proxy.

https://www.google.ie/gwt/x?u=[YourHttpLink] .

<iframe src="https://www.google.ie/gwt/x?u=[Your http link]"></frame>

Nó làm việc cho tôi.

Tín dụng: - https://www.wikihow.com/Use-Google-As-a-Proxy

Sử dụng proxy ngược HTTPS-to-HTTP của riêng bạn.

Nếu trường hợp sử dụng của bạn là khoảng một vài, hiếm khi thay đổi URL để nhúng vào iframe, bạn chỉ cần thiết lập một proxy ngược cho điều này trên máy chủ của riêng bạn và định cấu hình nó để một httpsURL trên máy chủ của bạn ánh xạ tới một httpURL trên máy chủ được ủy quyền. Vì proxy ngược hoàn toàn nằm ở phía máy chủ, trình duyệt không thể phát hiện ra rằng nó "chỉ" nói chuyện với proxy của trang web thực và do đó sẽ không khiếu nại vì kết nối với proxy sử dụng SSL đúng cách.

Ví dụ: nếu bạn sử dụng Apache2 làm máy chủ web của mình, thì hãy xem các hướng dẫn sau để tạo proxy ngược.