如果用户使用相同的站点cookie属性Lax登录某个选项卡（使用NTLM登录），则在另一个选项卡上，用户不应在iframe中自动登录

配置： 我们有一个基于cookie的SSO应用程序（测试应用程序），它使用多个身份验证处理程序，如数据库、NTLM、Kerberos、LDAP等

当用户点击URL（）时，它会重定向到进行实际登录

现在的情况是：

NTLM身份验证模式

CSP标头设置为帧祖先：“self”。意味着domainB不是白名单上的域，应该限制来自它的任何请求

Cookie同一站点属性模式：Lax

测试应用程序部署在domainA中

攻击者在域B中部署了-app（），它使用iframe中的测试应用程序登录URL（）

实际行为：

用户通过点击chrome浏览器登录测试应用程序。攻击者URL在另一个包含iframe和测试应用程序登录URL的选项卡上被击中。用户自动获得登录名

预期行为：

domainB未列入白名单，因此从iframe启动的NTLM登录应该限制登录窗口