允许在https站点中使用https地址的iframe
我有使用https的webapp(用java编写)。我们必须在另一个https地址上显示一个iframe。问题在于,由于安全问题,各种浏览器都不会在https中显示iframe。允许在https站点中使用https地址的iframe
我试图通过在响应设置头解决这个IE浏览器: X-框架 - 选项允许-FROM https://abc.def.com
对于所有其他浏览器我有头设置为: 内容安全-Policy script-src'self'https://abc.def.com; frame-src'self'https://abc.def.com;
https://abc.def.com是本示例中的iframe地址。 我如何解决这个问题,以显示我的https如果内存在我的https网站?
更新: 问题是,该网站israramed使用https的自签名证书,而不是一个真实的。当切换到一个真正的上述解决方案工作。
的问题是,该网站被的iFrame用于HTTPS自签名证书,而不是一个真实的。当切换到一个真正的上述解决方案工作。
而不是X-框架 - 选项允许,从标题,尝试X-框架 - 选项允许
'X-Frame-Options'是一个防止成帧的标题。根据OP,他根本没有发送。即使他是,正确的指令将是'允许 - 来自'。 – EricLaw
您需要解释一下,由于安全考虑,各种浏览器不会在https中显示iframe。您浏览器不介意在ANY页面中嵌入HTTPS框架,除非该框架声明您可能没有框架。 – EricLaw
正在构建的页面没有任何标题禁止它被构建。它由其他服务构建,但框架页面现在已切换到https而不是http。显示安全相关消息时,浏览器的行为会有所不同。 Chrome显得很伤心。 IE根据版本显示各种警告。在版本8中,它的顶部有一个黄色的工具栏,警告你,在版本10中它会弹出在页面的底部。 – user1329339
什么**确实**它“警告你”?它是否会警告您有关“混合内容”或错误证书,或者? – EricLaw