"Information sur la sécurité" sur l'affichage d'une popup de calendrier

Version imprimable

Hello !

Je rencontre un problème sous IE6 (peut-être 7 et 8 aussi, pas testé, mais IE6 sera le navigateur utilisé principalement pour accéder à ce site) lorsque je clic sur un lien pour afficher un calendrier dans une popup.

Le site est en HTTPS et j'ai une boite de dialogue "Information sur la sécurité" avec le texte suivant : "Cette page contient des éléments sécurisés et non sécurisés. Souhaitez-vous afficher les éléments non sécurisés ?".

Ceci est dû au fait que IE considère cette popup comme non HTTPS. La parade est simple : Outils > Options Internet > onglet Sécurité > bouton Personnaliser le niveau > Affiche un contenu mixte > Activer. Mais tous les clients ne vont pas modifier leur config IE (et avoir d'éventuelles failles de sécurité) et il faut simplement que ça fonctionne sans afficher à chaque fois ce message ennuyeux.

J'aimerais donc trouver comment faire pour que ce message ne s'affiche pas.

Le calendrier utilisé est Rich Calendar par Vyacheslav Smolin : http://www.richarea.com/demo/rich_calendar/

Voici le code côté HTML :

Code:

<a href="#" id="ddCal"><img src="calendar.gif" alt="Calendar" title="Calendar" /></a>

Un listener côté Ajax s'occupe d'afficher le calendrier sur un clic :
Code:

1 2 var ddCal = $('ddCal'); ddCal.observe('click', Common.show_calHandler.bindAsEventListener(ddCal, 'ddText'));
Et :
Code:

1 2 3 4 5 Common.show_calHandler = function (event){ var args = $A(arguments); args.shift(); show_cal(this, args[0]); // this = élément à coté duquel on souhaite afficher le calendrier, args[0] = id du champ à remplir };
Enfin la partie d'affichage proprement dite :
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 function show_cal(el, tf) { if (cal_obj) return; text_field = document.getElementById(tf); cal_obj = new RichCalendar(); cal_obj.start_week_day = 1; cal_obj.show_time = false; cal_obj.language = 'fr'; cal_obj.user_onchange_handler = cal2_on_change; cal_obj.user_onclose_handler = cal2_on_close; cal_obj.user_onautoclose_handler = cal2_on_autoclose; cal_obj.parse_date(text_field.value, format); cal_obj.show_at_element(el, "adj_left-"); cal_obj.change_skin('edd-web'); }
J'ai cru comprendre en faisant des recherches qu'un lien avec un # (<a href="#"...) permettait d'éviter le problème. Mais c'est déjà le cas ici. Comment faire ?

Merci de votre aide !

09/12/2009, 12h14
Bovino

Salut.

Tout d'abord, je ne vois aucun rapport avec AJAX :koi:
Pour rappel, AJAX ne consiste pas à afficher des éléments mais à récupérer dynamiquement des données sur le serveur sans quitter la page.

Ensuite, si tu es sur une page sécurisée qui fait appel à des ressources situées sur un domaine non sécurisé (apparemment, c'est le cas de tes scripts), tu n'auras heureusement aucun moyen d'empêcher l'affichage du message ! Sinon, à quoi servirait une page sécurisée...
09/12/2009, 14h56
Shuret

Oui tu as raison pour Ajax, il y a une partie véritablement Ajax et la gestion de cette popup est noyée dedans. Abus de langage toussa !

Tout est hébergé sur le même serveur sécurisé, je ne fais appel à aucun moment à une ressource hébergée ailleurs, c'est pourquoi je me pose cette question. A quoi vois-tu que je fais appel à un domaine non sécurisé dans le code que j'ai posté ?
21/12/2009, 10h33
Shuret

Salut,

Pourrais-tu m'expliquer en quoi je fais appel à des ressources sur un domaine non sécurisé ? Tout est hébergé au même endroit, pages JSP et Javascript du calendrier.

Merci.
21/12/2009, 12h19
SpaceFrog

ton appel ajax provient du client ... donc de l'extérieur ...
21/12/2009, 14h47
Shuret

Je suis pas sûr de bien comprendre... A ce moment là tous mes liens sont cliqués depuis le client... Peux-tu préciser ta réponse et éventuellement me dire ce qu'il faudrait faire pour solutionner ce problème ?

Merci !
21/12/2009, 14h48
SpaceFrog

jette un oeil par là
http://www.developpez.net/forums/d67...te-ajax-https/
21/12/2009, 17h18
Shuret

Je comprends pas en quoi je fais du cross-domain. Toutes les ressources sont hébergées sur le même serveur en HTTPS. Pour moi c'est comme un onclick="lancer_fonction_javascript()", rien de plus. J'ai d'autres utilisations de prototype qui fonctionnent sans problème sous IE. De plus ce problème ne se produit que sous IE, qui doit mal comprendre un truc, et pas sous Firefox qui voit bien qu'il n'y a pas appel d'un domaine HTTP depuis un domaine HTTPS lors du clic sur ce lien.

Peux-tu développer un peu ton explication ?

Merci !
21/12/2009, 20h21
SpaceFrog

n'oublies pas que ta page est chez le client ...
tu es donc à l'extérieur..
tu te connecte une première fois, masi rien de dit que ton appel ajax renvoie les même headers ...
21/12/2009, 20h29
Bovino

N'oublies pas non plus que même si tu es sur une page HTTPS, si tu appelles un script :

Code:

<script type="text/javascript" src="monscript.js"></script>

ce script n'est pas nécessairement considéré comme sécurisé ;)
22/12/2009, 10h22
Shuret

J'avoue que ça me dépasse un peu. En gros le site est en HTTPS mais lors du clic sur le lien, le client fait un appel HTTP en local ? Pourquoi utiliser HTTP pour lancer une simple fonction JS ? Comment corriger ce problème ?

Si j'inclue le fichier JS directement dans la page au lieu de l'appeler par une balise du type ?

Code:

<script type="text/javascript" src="monscript.js"></script>

Ou peut-être faut-il préciser la source ?

Code:

<script type="text/javascript" src="https://domaine/js/monscript.js"></script>

Ou alors balancer des headers identiques en Ajax (mais comment faire ?). Merci de votre aide, d'autant que ce ne sera pas facile à tester (seule la prod est en domaine sécurisé, donc j'ai pas droit à l'erreur).

J'ai regardé la bibliothèque ACD, mais je ne pense pas que ça réponde à mon problème, je n'appelle pas une URI située sur un autre domaine mais une fonction JS. A moins que je me trompe...
12/03/2010, 10h50
Shuret

J'ai fini par trouver une solution sur ce site :
http://www.smarinier.net/blog/index....t-pas-securise

Il suffisait d'ajouter la ligne suivante lors de la création de l'iFrame contenant le calendrier, dans le code source d'origine de ce calendrier :

Code:

this.iframe_obj.src = 'javascript:false';

Ca fonctionne bien en HTTPS sous IE6 et aucun effet de bord constaté.

En espérant que ça puisse aider.