SSL Войти в iFrame

Question

Мой прототип пользовательского интерфейса требует, чтобы я постоянно показывал информацию для входа на сайт. Либо я должен показать обычное имя пользователя и пароль, либо «вы вошли как». Последний бит не должен быть безопасным, так как это только информация для пользователя, я ничего не буду использовать на стороне сервера. Но первая часть должна отправить в защищенном виде на сервер.

Похоже, мне тогда пришлось бы использовать https для всех страниц сайта. Я хотел бы использовать ssl только для того, что требуется для обеспечения безопасности.

Один из способов - ввести информацию для входа в https: //../login.aspx и показать ее на моей главной странице в виде IFrame.

Один недостаток, который я вижу, состоит в том, что пользователь не будет знать, что используется https, если только он не прочитает IFrame src в исходном коде.

Что ты думаешь?

Answer 1

Вы столкнулись с основными проблемами. Требуется логин, который должен быть на каждой странице, чтобы использовать SSL, но вы не хотите, чтобы вся страница была SSL.

Это больше бизнес-решение на данный момент, чем что-либо еще. Вы бы предпочли, чтобы ваши клиенты чувствовали себя в большей безопасности при посещении вашего сайта, или вы хотите, чтобы информация для входа присутствовала на каждом экране?

Если вам нужно иметь и то, и другое, вам, возможно, придется взглянуть на создание всего сайта SSL.

Answer 2

Используете ли вы встроенные элементы управления входом asp.net или вы просто используете два элемента управления textbox?

Вы можете использовать свой собственный тег формы (не runat = "server") с атрибутом действия, установленным в "https: // ...", и просто использовать два html-тега ввода и кнопку для входа.

Опять же, это не покажет пользователю, что учетные данные безопасны при входе в систему.

Из-за некоторых недавно обнаруженных атак SSL всегда желательно также размещать форму входа на странице https: //. В противном случае взломанный может перехватить поток http и изменить действие формы с «https: // ...» на «http: // ...», а затем прослушать учетные данные.

Answer 3

Другим вариантом будет использование свойства PostBackUrl элемента управления Button.

Вам нужно будет создать свой собственный логин LayoutTemplate, чтобы воспользоваться этим преимуществом. После этого вы сможете добавить защищенную схему к URL-адресу текущей страницы и установить для этого свойство PostBackUrl кнопки отправки.

Это будет иметь проблемы, аналогичные вашему решению iFrame (пользователь не увидит символы замка), однако вы получите преимущество, которое не будет использовать iFrames.

Еще одна проблема, связанная с использованием iFrame, заключается в возможностях, которые они могут оказать на странице:

• Это отдельный запрос, но он может вызвать блокировку при возникновении события JavaScript PageLoad.
• Форма входа будет отправляться только внутри iFrame, поэтому вам нужно обновить родительскую страницу, когда пользователь успешно вошел в систему, чтобы удалить ее.
  • Кроме того, в iFrame будут возвращаться ошибки, которые, вероятно, не оставят вам много места для отображения формы и т. Д.