Iframe 此身份验证流安全吗? 目标
在第三方网站上嵌入一个表单,该表单可以使用第一方身份验证(OIDC、KeyClope)通过承载令牌向受保护的第一方服务发布。(想象一下类似于评论表单的东西。) 此流不允许刷新oidc承载令牌是可以接受的 担心Iframe 此身份验证流安全吗? 目标,iframe,keycloak,openid-connect,web-component,Iframe,Keycloak,Openid Connect,Web Component,在第三方网站上嵌入一个表单,该表单可以使用第一方身份验证(OIDC、KeyClope)通过承载令牌向受保护的第一方服务发布。(想象一下类似于评论表单的东西。) 此流不允许刷新oidc承载令牌是可以接受的 担心 防止点击劫持 控制允许使用表单的第三方网站 从第三方网站隔离用户信息和令牌 方法 我目前的理解使我相信这些问题已经得到解决: 为了防止点击劫持(如在iframe embedded auth中),整个登录过程在一个新的弹出窗口中执行(请参见图:打开弹出窗口) 检查window.op
感谢您的投入好的,你每天都能学到新东西 我了解到,如问题所示,我所采用的方法并不安全
- 通过srcdoc填充的iframe显然不算作跨原点帧。嗯,嗯。这意味着对第三方网站没有可行的保护。通过在其上添加一个沙盒属性,这并没有变得更好,因为这是为了在另一个方向上提供保护(保护第三方网站不受iframe内容的影响)
- 可能的工作方式是使用包含跨原点iframe的web组件。但是,为什么要为嵌入第三方网站而烦恼,包括a)脚本和b)web组件标记呢?我看不出(在我的用例中)仅仅使用跨源iframe有什么真正的好处
- 另一侧的点击劫持弹出补救措施是必须的
此问答由“在开发eleborate计划之前首先尝试了解您的工具”委员会赞助。一个选项是在后端完成所有操作,而不要直接在浏览器中使用令牌,请参阅和