我正在为体育中心建立一个网站。注册通过第三方软件程序处理。可以选择直接通过第三方网站注册,或将注册表单与iframe集成到我的网站。
由于我不想将人们发送到其他网站,因此我使用了iframes选项。我的问题是,我是否可以确定人们在iframe中获得的安全级别与完全安全的第三方网页相同?
谢谢。
答案 0 :(得分:1)
此设计确实让您更容易SSLStrip。我推荐观看Moxie Marlenspike's Talk的视频。虽然在实践中这种攻击并不常见。
此iframe不会违反OWASP A9: Insufficient Transport Layer Protection。但是,如果您计划让人们登录HTTP站点,或者您通过HTTP传输会话ID,那么这将是OWASP A9的明显违规。
简而言之,https绝对有必要保护您的用户。