代码之家  ›  专栏  ›  技术社区  ›  Sonny

Zend框架、SSL路由、FancyBox和XSS问题

xss ssl iframe zend-framework jquery
  •  0
  • Sonny  · 技术社区  · 14 年前

    设置:

    • 我正在使用Zend框架
    • 我有一个控制器插件,可以根据我的应用程序设置检查路由,如果需要,可以重定向到HTTPS,如果不需要,可以重定向到标准HTTP。我的控制器插件基于 this blog entry .
    • 我的窗体“弹出”使用 Fancybox

    问题:

    如果我在启动登录时处于非SSL页面上,则表单会正确显示并执行登录过程,但调用父级以关闭FancyBox实例的javascript无法执行此操作,因为域现在不同-https与http

    在任何上下文中,都可以从页面调用登录表单和其他一些表单,因此我不确定如何解决这个问题。

    关闭FancyBox实例的javascript: 

    if (window.self !== window.top) {
    // is nested
    parent.$.fancybox.close();
}
    1 回复  |  直到 14 年前
        1
  •  0
  •   Sonny    14 年前

    我解决了它,方法如下:

    1. 添加了新的SSL路由规则 allow_ssl 并在我的控制器插件中添加了对它的支持。路线 允许\u ssl 不在HTTP和HTTPS之间切换。这修复了可以从安全页面调用的弹出窗口,不管它们是否安全。
    2. 添加了一个签入我的登录进程,该进程检查原始登录请求并设置 is_ssl “请求”会话命名空间中的标志。登录成功后,我检查标志并重定向到 close-popup 通过HTTP或HTTPS执行操作。这个 关闭弹出式菜单 行动是一种具有 允许\u ssl 旗帜。
    推荐文章
    Tom McLean  ·  如何使用证书管理器制作的证书在AWS上创建到mongodb实例的TLS/SSL连接?健康检查失败
    8 月前
    Yan  ·  我是否应该与CloudFlare共享我网站的SSL私钥以使用其CDN服务?
    9 月前
    Ilkhom Tashkulov  ·  MongoDB与Go的连接错误,ReplicaSetNoPrimary
    1 年前
    Yoocee Ansah  ·  当我尝试添加SSL身份验证时,“尝试在非套接字上执行操作”
    1 年前
    Raja  ·  在ESP8266上启用TLS时,WiFi管理器崩溃
    1 年前
    YK S  ·  与KMS服务器的ssl握手需要花费一些请求的时间(50秒)
    1 年前
    MJC  ·  EventSource消息的Python Flask服务器产生随机/重复的SSL错误:EOF违反协议
    1 年前
    Niamatullah Bakhshi  ·  如何在不需要删除现有映像的情况下更新Docker私有注册表的自签名SSL/TLS证书?
    1 年前
    self_learner_localhost  ·  curl、浏览器和移动应用程序使用哪个键值对和证书进行https调用?
    1 年前
    Peilin  ·  URLError:禁用了不安全的旧版重新协商(_SSL.c:1007)>
    1 年前
    关于  
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号