我在不安全 (http) 页面中有一个安全表单(属性 action="https://...")。目的是安全地传输数据,同时避免由于我页面上的 Google map 元素不安全而出现混合内容警告(“某些项目不安全”)。
当表单发布并成功时,一切都很好。但是,如果表单失败,我的用户最终会进入同一页面,但现在整个页面都是安全的(并生成混合内容警告)。
我如何接受来自表单的安全输入,并且在表单提交失败时仍然发回相同的不安全页面?
最佳答案
在 HTTP 页面中呈现表单,即使表单指向 HTTPS URL,也违背了 SSL 的目的。如果您的表单指向 HTTPS,则应仅通过 HTTPS 提供服务。同样,如果它是通过 HTTP 提供的,它应该只指向 HTTP。参见 this blog获取更多信息。
此外,这些“混合内容警告”错误试图防止对 SSL 的额外滥用,因为您正在通过未加密的 channel 访问不受您控制的资源。一旦 SSL 以这种方式被破坏,攻击者就有可能将他自己的 Javascript 注入(inject)到响应中,那么您的页面是 SSL 加密的事实就没有用了。
简而言之,确认使用 SSL 是您的应用程序的严格要求,如果不是,则将其删除。您今天的应用程序配置在安全性上等同于通过 HTTP 提供一切服务。如果这是 Not Acceptable ,请划分您的网站,使您网站中引用 Google map 的部分与处理安全交易的网站部分不同。
关于asp.net-mvc - ASP.NET MVC : Returning unsecured response to submitted https form on unsecured page,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1610108/