如果用户使用相同的站点cookie属性Lax登录某个选项卡(使用NTLM登录),则在另一个选项卡上,用户不应在iframe中自动登录
配置: 我们有一个基于cookie的SSO应用程序(测试应用程序),它使用多个身份验证处理程序,如数据库、NTLM、Kerberos、LDAP等 当用户点击URL()时,它会重定向到进行实际登录 现在的情况是:如果用户使用相同的站点cookie属性Lax登录某个选项卡(使用NTLM登录),则在另一个选项卡上,用户不应在iframe中自动登录,iframe,content-security-policy,samesite,ntlm-authentication,Iframe,Content Security Policy,Samesite,Ntlm Authentication,配置: 我们有一个基于cookie的SSO应用程序(测试应用程序),它使用多个身份验证处理程序,如数据库、NTLM、Kerberos、LDAP等 当用户点击URL()时,它会重定向到进行实际登录 现在的情况是: NTLM身份验证模式 CSP标头设置为帧祖先:“self”。意味着domainB不是白名单上的域,应该限制来自它的任何请求 Cookie同一站点属性模式:Lax 测试应用程序部署在domainA中 攻击者在域B中部署了-app(),它使用iframe中的测试应用程序登录URL() 实际行