Error de contenido mixto en IE11: recurso HTTPS en la página HTTP

5

Tengo una página web HTTP con un fragmento de JavaScript que agrega un iframe a la página. El iframe está apuntando a una página HTTPS. En la consola de desarrolladores de IE11, aparece este error:

SEC7111: la seguridad de HTTPS se ve comprometida por enlace .

Esta no es la típica advertencia del navegador de contenido mixto cuando tienes una página HTTPS que carga un recurso HTTP. Esto es lo contrario ( recurso HTTPS en una página HTTP ). Ni Chrome ni Firefox dan ninguna advertencia en esta página. Solo IE11 da el error . Mi configuración de IE11 es Solicitar contenido mixto, sin embargo, en realidad no lo solicita y en realidad está cargando el iframe de HTTPS. La única indicación de contenido mixto en IE11 es el error en la consola del desarrollador.

Pregunta 1: ¿El hecho de tener un recurso HTTPS en una página HTTP causará problemas? ¿Hay otros navegadores que pueden negarse a cargar el iframe o mostrar un mensaje / cuadro de diálogo que indiquen si se debe cargar contenido mixto? Idealmente, me gustaría que se cargara el iframe y para que no haya advertencias del navegador. Mi instinto es que cargar contenido HTTPS en una página HTTP debería ser correcto, por lo que estoy seguro de que Firefox y Chrome no muestran ningún mensaje.

Curiosamente, me he encontrado con algunas páginas web HTTP que tienen una etiqueta de script HTTPS en ellas. Por ejemplo, una etiqueta de script para enlace en una página HTTP. IE11 no da ningún error en la consola del desarrollador en esta página. Debido a que tanto la etiqueta script como la etiqueta iframe se consideran etiquetas de contenido "activas" mixtas, espero que IE11 también genere un error para esta etiqueta de secuencia de comandos HTTPS, pero no lo hace. Pregunta 2, ¿por qué motivo IE11 no informa un error de contenido mixto en este escenario?

    
pregunta Ben Amada 26.11.2015 - 02:31
fuente

1 respuesta

1

En el caso de un iFrame HTTPS de un dominio diferente, se accede a dos fuentes de información distintas. El propósito del mensaje de error de Microsoft en la consola del desarrollador puede ser simplemente recordar a los desarrolladores inexpertos que la fuente de información en el iFrame HTTPS podría necesitar una mejor protección.

En el caso de una secuencia de comandos HTTPS, no se accede a otra fuente de información que no sea la página HTTP principal, ya que las secuencias de comandos de dominios de terceros se usan generalmente para cargar bibliotecas. En tal caso, no hay una fuente de información segura que necesite una mejor protección.

En una nota al margen, creo que es recomendable cargar iFrames, scripts y recursos HTTPS desde páginas HTTP, ya que evita ataques a nivel de red troncal y de proveedor de Internet.

    
respondido por el Enos D'Andrea 08.04.2018 - 11:27
fuente

Lea otras preguntas en las etiquetas