Html 如何进行跨站点表单沟通？

老实说，我不知道如何描述我的具体问题，但我可以给出一个具体的例子

您有一个网页，要求用户连接各种社交媒体帐户。一旦他们这样做了，您就可以将连接的帐户提供给后端，后端可以连接到每个社交媒体帐户（使用oauth或auth或其他方式），以获取不同的数据并提供社交媒体分析报告。假设这一切都是安全的，这不是主要问题

现在假设如下： 第三方网站使用您的服务，根据您的分析报告确定用户是否有资格获得赞助。他们有自己的表单，要求用户填写，并且在某个时候表单会将用户重新路由到您的网页，以用于社交媒体分析部分。完成后，您的网站必须将该用户连同社交媒体分析报告一起发送回第三方网站。你将如何安全地做到这一点

我想到了如下的事情：

第三方通过使用以下参数发出GET请求将其用户路由到您的网站：applicationId=some_third_party_application_id&callbackUrl=this_callback_url

您的网页可以从参数中提取applicationId和callbackUrl，并将其缓存在localstorage或其他任何地方

用户通过连接各种社交媒体帐户来浏览您的流程，您的网页将这些连接发送到计算社交媒体分析报告的服务器

分析报告id由您的后端返回到网页，现在网页可以将分析报告的此id发送回步骤1中最初指定的回调url

流程将在第三方的网页上恢复，然后他们可以调用您的另一个api，从您通过回调url发回的报告id中获取分析报告详细信息

然后，第三方使用报告的细节来确定申请人是否值得赞助

我猜这种流动的另一个例子可能是信用报告，比如汽车贷款之类的。你可以在一个与信贷提供商集成的网站上申请贷款。信贷提供商将报告发送回汽车贷款提供商，这是无缝且安全的

---

在我概述的示例中，这是如何实现的？我的想法正确吗？

你说的“安全完成”是什么意思？所有这些操作都可以通过HTTPS进行保护（无论如何，传输中的数据）。静止数据是另一回事。在流程的每个步骤中使用的特定应用程序都可能有自己的漏洞。每个服务器都一样。访问站点的每个用户都可以在不知情的情况下安装键盘记录器。有这么多可能的载体。我想我可能用最后一句话，我的道歉，把你引向了错误的思路。我更感兴趣的是我的例子中提到的这个问题是如何解决的，以及我提出的策略是否有效。我将在下面的单独回复中发布我对“安全”方面的担忧，因为它太长了。1）我的应用程序如何确保重定向到我们的网站不是来自恶意来源？我认为这并不难，因为我们的网站可以预先配置以验证域/IP，甚至回调url（仅为特定域提供请求，并验证回调url是否与预配置的url匹配）2）我们的网站后端不会存储任何社交媒体内容或用户信息，只有映射到分析报告id的分析报告详细信息。报告数据可以删除所有PII（个人识别信息），并且只包含特定于分析算法的指标（参与度、帖子计数等）。3）正在指定回调url、应用程序id、，查询参数中的报表id是否安全？4） 我们的第三方对其端部可能存在的任何安全漏洞负责，我们只提供分析报告。如果应用程序在本地存储和缓存中执行操作，则可能不需要应用程序ID。如果他们不这样做，applicationId可以用于跟踪他们端的应用程序，我们的回调只会恢复该应用程序。