堆栈内存溢出
  繁体   English   中英

JavaScript / Greasemonkey:从安全页面提交表单时避免FireFox安全警告

[英]JavaScript/Greasemonkey: Avoiding FireFox Security Warning when Submitting a Form from a Secure Page

 原文  2008-12-10 14:55:22       javascript/ firefox/ forms/ ssl/ greasemonkey

问题描述

我正在写一个Greasemonkey脚本来连接两个公司内部网页。 一个是SSL,另一个是不安全的,只能通过POST请求访问。 如果我在安全页面上创建隐藏表单并通过<a>onclick()提交它,它可以正常工作,但FF会发出警告:

虽然此页面已加密,但您输入的信息将通过未加密的连接发送,并且可以由第三方轻松读取。

您确定要继续发送此信息吗?“

不安全的页面无法通过SSL访问,另一个无法访问它,我无法修改任何服务器= \\有没有办法通过做某种JavaScript / Greasemonkey来避免这种警告重定向魔术? 谢谢!

编辑:警告不能被禁用(出于相当好的理由,因为很难判断你要发送的内容是否安全,否则)。 我主要想知道是否有一种方法可以在JavaScript中进行POST,而不会看起来像是在提交表单。

4 个解决方案

解决方案1
 2  2008-12-11 09:16:04

这可以通过执行GM_xmlhttpRequest来实现。 例如, 

GM_xmlhttpRequest({
  method: 'POST',
  url: 'http://your.insecure.site.here',
  onload: function(details) {

      // look in the JavaScript console 
      GM_log(details.responseText);

      /* This function will be called when the page (url) 
      has been loaded. Do whatever you need to do with the remote page here.*/
  }
});

API /更多信息: GM_xmlhttpRequest wiki

解决方案2
 1  2013-05-01 20:58:53

我很欣赏这个回复对原版海报不会有太大帮助。 他们似乎很好地掌握了这个警告信息所涵盖的安全状况。 无论如何,我发帖是因为我已经看到许多要求完全抑制此警告信息的呼吁而对后果几乎一无所知。 它与原帖的编程环境有点偏离主题,但是从其他似乎认为这个警告信息不太有用的回复中,我认为重要的是人们要理解决策背后的推理和安全情况。允许在所有情况下都禁止此警告。

在原岗位的特定情况下,它很可能是适当的忽略该错误信息提供张贴是不敏感的信息。 否则,永远不适合以明文形式发布敏感数据,并且Mozilla人员坚持认为在任何情况下都不能禁用此特定消息是正确的。

否则,人们可能会构建非常糟糕的表单,在没有警告的情况下通过不安全的Internet发布您的信用卡详细信息或其他敏感信息。 当这些敏感信息遍历互联网时,它几乎肯定会越过那些您不想共享这些敏感数据的人控制的网络。 因此警告。 删除它或允许它一直被忽略,你删除了人们已经依赖电子商务等的SSL,TLS和HTTPS的可信度。

如果你怀疑人们会无能力创造这样的形式,我就是在不到一个小时前从一个网站购买的。 至少Firefox警告我,我可以将问题转发给网站所有者。

我们在这里要非常清楚。 问题在于网站所有者,而不是 Firefox或Mozilla开发团队。 正如我所说的那样,有时候从安全站点以明文形式发送POST数据可能是合适的,但是如果没有人为干预就无法区分这种情况。 这就是为什么不能用一揽子政策来抑制这种信息的原因,也不应该这样做。

将特定表单添加到由URI标识的特定表单可能是合适的,因为用户可以识别表单中的所有信息都不敏感,前提是输入表单的信息不会更改。 然而,AFAIK Mozilla团队还没有做到这一点。

我注意到很多人将此警告消息与关于混合HTTP和HTTPS内容的警告混淆,这是一种非常不同的情况,但遗憾的是提供了非常类似的警告消息。 这种情况是页面中的某些内容受HTTPS保护而某些内容不受HTTPS保护。 对于休闲网上冲浪来说,这不是一个问题,例如,可以在其中保护带有未受保护的广告的受保护内容,例如回复中给出的MSDN示例。

但HTTPS不仅可以保护网页的隐私,还可以保护完整性,保证没有人修改传输中的数据。 因此,如果您需要保证您正在查看的所有网页都没有受到干扰,则需要这种更强大的保证,并且不应禁用混合内容警告,至少对于敏感页面而言。

解决方案3
 1  2008-12-10 16:20:53

您可以将新的SSL站点设置为仅将数据传递回不安全站点的代理。 或者只是让所有用户关闭该特定安全警告。 (对不起FF团队,但这不是一个非常有用的消息。)

解决方案4
 0  2008-12-10 16:14:55

这是一个浏览器配置设置,不能(或不应该)由Javascript改变。

除非脚本需要由多个用户使用,否则工具 - >选项 - >安全性。 您可以单击设置以显示显示的警告消息。 请注意,这当前会影响所有站点,而不仅仅是内部系统。

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 提交javascript表单时如何防止我的页面刷新 使用Greasemonkey提交表单时出错 停止,即在安全页面上加载非安全图像时显示安全警告 从安全页面转到非安全页面时重定向的Javascript 如何使用Greasemonkey脚本防止页面在Firefox中缓存 提交表单时页面重定向 用户离开页面而不提交表单时如何显示警告消息 JavaScript验证后表单未提交 未验证时提交JavaScript表单 提交表单时如何防止页面重置
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM