https sicurezza è compromessa

Question

Ho la prossima errore nel IE9 sul mio sito:

SEC7111: HTTPS security is compromised by res://ieframe.dll/dnserrordiagoff.htm 
SEC7111: HTTPS security is compromised by res://ieframe.dll/ErrorPageTemplate.css 
SEC7111: HTTPS security is compromised by res://ieframe.dll/errorPageStrings.js 
SEC7111: HTTPS security is compromised by res://ieframe.dll/httpErrorPagesScripts.js 
SEC7111: HTTPS security is compromised by res://ieframe.dll/noConnect.png 
SEC7111: HTTPS security is compromised by res://ieframe.dll/bullet.png 

So che questo errore si pone, a causa della cerco di ottenere contenuti http tramite protocollo https. Ma non ho trovato alcun posto dove tale scenario possa essere in questa pagina. Ho studiato che questo problema poteva essere risolto personalizzando il browser, ma questa soluzione non si adattava.

Qualcuno sa quali cause possono causare questi errori?

Answer 1

Assicurati che il contenuto in iframe consenta di inserirlo nel frame.

ex: X-Frame-Options: SAMEORIGIN

ref: https://developer.mozilla.org/en-US/docs/HTTP/X-Frame-Options

Answer 2

Un mio cliente ha avuto il problema SEC7111: HTTPS security is compromised by res://ieframe.dll/ di recente in varie versioni di IE fino al IE11 - e forse di Edge troppo, ma ora è stato risolto e non posso controllare facilmente - e il problema non era correlato a X-Frame-Options, tutti i siti coinvolti utilizzavano SSL e non c'erano errori di contenuto http + https misti.

In questo caso, la radice del problema riguardava i livelli di attendibilità della zona di sicurezza di Internet Explorer. La società per cui lavoro gestisce una grande app Web per una grande organizzazione con un dominio aziendale e la nostra app è ospitata tramite un sottodominio, ad esempio crm.egcorporate.com.

Il client ha anche la sua intranet e il sito Web pubblico su www e altri sottodomini di egcorporate.com. Usano anche un sistema di gestione dell'apprendimento online di terze parti, ad esempio eglms.com che nelle stesse pagine iframe del contenuto di crm.egcorporate.com, che ha funzionato bene negli ambienti di staging per entrambi i sistemi, ma nella produzione ha causato errori per gli utenti aziendali ma solo quando si utilizza IE su una macchina collegata al proprio controller di dominio.

Il problema è stato perché nelle loro impostazioni dei criteri di gruppo di Active Directory, hanno dovuto *.egcorporate.com insieme a Local Intranet zona di sicurezza, e eglms.com è stato impostato per Siti attendibili di zona di protezione. Poiché l'URL di produzione per la nostra applicazione è stata in un sottodominio del proprio dominio AD, ha ereditato locali impostazioni di attendibilità intranet in IE, il che significava IE non permetterebbe LMS al Trusted livello inferiore al iframe intranet contenuti. Ma la pazzia di IE11 è che tenta di visualizzare le sue pagine di errori incorporate res://ieframe.dll/ ... per dircelo, ma poi si impedisce di visualizzare le proprie pagine di errore che è ciò che gli errori SEC7111 ci dicono.

Nel nostro caso la soluzione è stata per i ragazzi IT aziendali per aggiungere un più specifica crm.egcorporate.comSiti attendibili regola zona per la loro politica di gruppo AD (e hanno gli utenti accedono out + accedere nuovamente), in modo che il contenuto iframed e il sito di inquadratura è stato visto come lo stesso livello di fiducia di IE.

Il motivo per cui non è stato riscontrato lo stesso problema nella staging è dovuto al fatto che utilizziamo un URL come egcorporate.staging.mycompany.com che ovviamente non era coperto dalle impostazioni della zona di sicurezza della Intranet.