Discussion :

[Shuret]

Hello !

Je rencontre un problème sous IE6 (peut-être 7 et 8 aussi, pas testé, mais IE6 sera le navigateur utilisé principalement pour accéder à ce site) lorsque je clic sur un lien pour afficher un calendrier dans une popup.

Le site est en HTTPS et j'ai une boite de dialogue "Information sur la sécurité" avec le texte suivant : "Cette page contient des éléments sécurisés et non sécurisés. Souhaitez-vous afficher les éléments non sécurisés ?".

Ceci est dû au fait que IE considère cette popup comme non HTTPS. La parade est simple : Outils > Options Internet > onglet Sécurité > bouton Personnaliser le niveau > Affiche un contenu mixte > Activer. Mais tous les clients ne vont pas modifier leur config IE (et avoir d'éventuelles failles de sécurité) et il faut simplement que ça fonctionne sans afficher à chaque fois ce message ennuyeux.

J'aimerais donc trouver comment faire pour que ce message ne s'affiche pas.

Le calendrier utilisé est Rich Calendar par Vyacheslav Smolin : http://www.richarea.com/demo/rich_calendar/

Voici le code côté HTML :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<a href="#" id="ddCal"><img src="calendar.gif" alt="Calendar" title="Calendar" /></a>

Un listener côté Ajax s'occupe d'afficher le calendrier sur un clic :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
var ddCal = $('ddCal');
ddCal.observe('click', Common.show_calHandler.bindAsEventListener(ddCal, 'ddText'));

Et :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
Common.show_calHandler = function (event){
	var args = $A(arguments);
	args.shift();
	show_cal(this, args[0]); // this = élément à coté duquel on souhaite afficher le calendrier, args[0] = id du champ à remplir
};

Enfin la partie d'affichage proprement dite :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
function show_cal(el, tf) {
 
	if (cal_obj)
		return;
 
	text_field = document.getElementById(tf);
 
	cal_obj = new RichCalendar();
	cal_obj.start_week_day = 1;
	cal_obj.show_time = false;
	cal_obj.language = 'fr';
	cal_obj.user_onchange_handler = cal2_on_change;
	cal_obj.user_onclose_handler = cal2_on_close;
	cal_obj.user_onautoclose_handler = cal2_on_autoclose;
 
	cal_obj.parse_date(text_field.value, format);
 
	cal_obj.show_at_element(el, "adj_left-");
	cal_obj.change_skin('edd-web');
}

J'ai cru comprendre en faisant des recherches qu'un lien avec un # (<a href="#"...) permettait d'éviter le problème. Mais c'est déjà le cas ici. Comment faire ?

Merci de votre aide !

[Bovino]

Salut.

Tout d'abord, je ne vois aucun rapport avec AJAX
Pour rappel, AJAX ne consiste pas à afficher des éléments mais à récupérer dynamiquement des données sur le serveur sans quitter la page.

Ensuite, si tu es sur une page sécurisée qui fait appel à des ressources situées sur un domaine non sécurisé (apparemment, c'est le cas de tes scripts), tu n'auras heureusement aucun moyen d'empêcher l'affichage du message ! Sinon, à quoi servirait une page sécurisée...

[Shuret]

Oui tu as raison pour Ajax, il y a une partie véritablement Ajax et la gestion de cette popup est noyée dedans. Abus de langage toussa !

Tout est hébergé sur le même serveur sécurisé, je ne fais appel à aucun moment à une ressource hébergée ailleurs, c'est pourquoi je me pose cette question. A quoi vois-tu que je fais appel à un domaine non sécurisé dans le code que j'ai posté ?

[Shuret]

Salut,

Pourrais-tu m'expliquer en quoi je fais appel à des ressources sur un domaine non sécurisé ? Tout est hébergé au même endroit, pages JSP et Javascript du calendrier.

Merci.

[SpaceFrog]

ton appel ajax provient du client ... donc de l'extérieur ...

[Shuret]

Je suis pas sûr de bien comprendre... A ce moment là tous mes liens sont cliqués depuis le client... Peux-tu préciser ta réponse et éventuellement me dire ce qu'il faudrait faire pour solutionner ce problème ?

Merci !

[SpaceFrog]

jette un oeil par là
http://www.developpez.net/forums/d67...te-ajax-https/

[Shuret]

Je comprends pas en quoi je fais du cross-domain. Toutes les ressources sont hébergées sur le même serveur en HTTPS. Pour moi c'est comme un onclick="lancer_fonction_javascript()", rien de plus. J'ai d'autres utilisations de prototype qui fonctionnent sans problème sous IE. De plus ce problème ne se produit que sous IE, qui doit mal comprendre un truc, et pas sous Firefox qui voit bien qu'il n'y a pas appel d'un domaine HTTP depuis un domaine HTTPS lors du clic sur ce lien.

Peux-tu développer un peu ton explication ?

Merci !

[SpaceFrog]

n'oublies pas que ta page est chez le client ...
tu es donc à l'extérieur..
tu te connecte une première fois, masi rien de dit que ton appel ajax renvoie les même headers ...

[Bovino]

N'oublies pas non plus que même si tu es sur une page HTTPS, si tu appelles un script :

Code html :

Sélectionner tout - Visualiser dans une fenêtre à part

<script type="text/javascript" src="monscript.js"></script>

ce script n'est pas nécessairement considéré comme sécurisé

[Shuret]

J'avoue que ça me dépasse un peu. En gros le site est en HTTPS mais lors du clic sur le lien, le client fait un appel HTTP en local ? Pourquoi utiliser HTTP pour lancer une simple fonction JS ? Comment corriger ce problème ?

Si j'inclue le fichier JS directement dans la page au lieu de l'appeler par une balise du type ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<script type="text/javascript" src="monscript.js"></script>

Ou peut-être faut-il préciser la source ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<script type="text/javascript" src="https://domaine/js/monscript.js"></script>

Ou alors balancer des headers identiques en Ajax (mais comment faire ?). Merci de votre aide, d'autant que ce ne sera pas facile à tester (seule la prod est en domaine sécurisé, donc j'ai pas droit à l'erreur).

J'ai regardé la bibliothèque ACD, mais je ne pense pas que ça réponde à mon problème, je n'appelle pas une URI située sur un autre domaine mais une fonction JS. A moins que je me trompe...

[Shuret]

J'ai fini par trouver une solution sur ce site :
http://www.smarinier.net/blog/index....t-pas-securise

Il suffisait d'ajouter la ligne suivante lors de la création de l'iFrame contenant le calendrier, dans le code source d'origine de ce calendrier :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

this.iframe_obj.src = 'javascript:false';

Ca fonctionne bien en HTTPS sous IE6 et aucun effet de bord constaté.

En espérant que ça puisse aider.