https Sicherheit ist gefährdet

8

Ich habe den nächsten Fehler in IE9 auf meiner Site:

%Vor%

Ich weiß, dass dieser Fehler auftritt, weil ich versuche, http-Inhalte über https-Protokoll zu bekommen. Aber ich finde keinen Ort, wo ein solches Szenario auf dieser Seite sein kann. Ich habe untersucht, dass dieses Problem durch Anpassung des Browsers gelöst werden kann, aber diese Lösung passt nicht.

Jemand weiß, welche Ursachen diese Fehler machen können?

    
user2135931 29.10.2013, 09:13
quelle

2 Antworten

0

Ein Kunde von mir hatte kürzlich das SEC7111: HTTPS security is compromised by res://ieframe.dll/ Problem in verschiedenen Versionen von IE bis einschließlich IE11 - und möglicherweise auch Edge, aber jetzt ist es behoben, das ich nicht einfach überprüfen kann - und das Problem war unabhängig von X-Frame-Optionen. Alle beteiligten Sites verwendeten SSL und es gab keine gemischten http + https-Content-Fehler.

In diesem Fall lag der Grund des Problems in den Sicherheitsstufen der Vertrauensstufe des Internet Explorers. Die Firma, für die ich arbeite, betreibt eine große Web-App für eine große Organisation mit einer Unternehmensdomäne, und unsere App wird mit einer Sub-Domain gehostet, zB crm.egcorporate.com .

Der Kunde hat auch sein Intranet und seine öffentliche Website auf www und anderen Subdomains von egcorporate.com . Sie verwenden auch ein Online Learning Management System von Drittanbietern, zB eglms.com , das auf denselben Seiten iframes einige Inhalte von crm.egcorporate.com enthält, was in den Staging-Umgebungen für beide Systeme gut funktionierte, aber in der Produktion nur für die Unternehmensbenutzer Fehler verursachte wenn Sie IE auf einem Computer verwenden, der mit ihrem Domänencontroller verbunden ist.

Das Problem lag darin, dass in den Active Directory-Gruppenrichtlinieneinstellungen *.egcorporate.com auf die Sicherheitszone Lokales Intranet festgelegt war und eglms.com auf Vertrauenswürdige Sites festgelegt war Sicherheitszone. Da sich die Produktions-URL für unsere App in einer Sub-Domain ihrer AD-Domain befand, erbte sie die Einstellungen für Lokales Intranet Trust im IE, was bedeutete, dass der LMS das untere Trusted level zu iframe Intranet Inhalt. Aber die Verrücktheit von IE11 ist, dass es versucht, seine res://ieframe.dll/ ... eingebetteten Fehlerseiten anzuzeigen, um uns dies zu sagen, aber dann sich selbst daran hindert, seine eigenen Fehlerseiten anzuzeigen, was uns die SEC7111 -Fehler dann sagen.

In unserem Fall war die Lösung für die Unternehmens-IT-Leute, eine spezifischere crm.egcorporate.com Vertrauenswürdige Sites Zonenregel zu ihren AD-Gruppenrichtlinien hinzuzufügen (und sich abzumelden + wieder einzuloggen), damit der iframed-Inhalt und die Framing-Site vom IE als das gleiche Vertrauensniveau angesehen werden.

Der Grund dafür, dass wir das gleiche Problem beim Staging nicht hatten, war, dass wir eine URL wie egcorporate.staging.mycompany.com verwenden, die offensichtlich nicht von den Intranet-Sicherheitszoneneinstellungen abgedeckt wurde.

    
Sev Roberts 13.02.2018 10:57
quelle
-1

Stellen Sie sicher, dass Ihr Inhalt in iframe in den Rahmen eingefügt werden kann.

ex: X-Frame-Optionen: SAMEORIGIN

ref: Ссылка

    
OOO 17.02.2014 07:23
quelle

Tags und Links