安全问题- SSL安全支付，如果在SSL安全站点上

Question

很抱歉，如果之前已经回答了这个问题，我无法真正找到这个确切的例子，我想为一个客户得到一个更清晰的答案。

我知道在http (非安全)嵌入站点上带有https支付门户的iframe是不安全的。

如果嵌入的站点是https，而嵌入iframe的支付门户是https，那么这是安全的，还是干脆放弃iframe并直接链接到门户站点更好呢？如果是，为什么？

(预先谢谢:)

Answer 1

在和HTTP页面中嵌入和SSL帧只有在主机页是MITM的情况下才是不安全的，并且被网络钓鱼主机和网络钓鱼框架所取代。这是唯一的危险。相同的原产地策略保护所有其他东西，只要它们来自不同的来源(我认为它们是因为为什么在这个页面上没有SSL？)

对抗被动攻击，这是安全的。如果他们正在积极地修改您的流量并更改框架SRC URL，则所有投注都已关闭。当然，原始页面的内容仍然是安全的，但是很难知道iframe作为用户的实际位置。