这是一个创建于 366 天前的主题,其中的信息可能已经有所发展或是发生改变。
目前项目内通过 iframe 内嵌一个三方的页面 三方页面内的接口如果要正常调用的话需要获取本地 cookie 里的有效 token 才能正常调用接口 目前三方页面提供了一个获取 token 的接口 需要在 A 页面调用然后接口直接在 cookie 里种 domain 为三方页面域名的 token 现在的问题在 A 页面调用之后无法成功种 token 请问这种思路有没有问题 有什么方案能解决这种需求呢(三方页面不改动的情况下)
 |
1
xuanbg 2024-12-05 22:40:50 +08:00
我无法理解你要如何给 iframe 内嵌一个三方的页面灌一个 cookie 进去。不应该由第三方页面自己在 iframe 里面实现登录和跳转吗?
|
 |
2
ltaoo1o 2024-12-05 22:56:26 +08:00
同一个域名还有可能,两个完全没关联的网站不可能做到。
正常做法都是嵌入三方页面时,链接上会带授权信息,三方页面从链接上取授权信息。 |
 |
3
yinmin 2024-12-05 22:59:13 +08:00 via iPhone
试试将写 cookie 的 js 代码注入到 iframe 第三方网页里
|
 |
4
rowink 2024-12-06 01:46:28 +08:00 via Android
如果 iframe 的页面不能给注入 js ,那没什么办法。估计也只有配合浏览器插件能够做到,这个需求基本上就维持 iframe 界面的 token 持久化,浏览器插件就没有跨域之分了,但是这就是另一个问题了
|
 |
5
doommm 2024-12-06 02:10:52 +08:00
iframe 内的网页是不是可以接受外部发过来的事件?
|
|
6
doommm 2024-12-06 02:12:23 +08:00
@doommm 比如通过这个 `window.postMessage` https://developer.mozilla.org/en-US/docs/Web/API/Window/postMessage
|
 |
7
magicflower 2024-12-06 08:43:41 +08:00 via Android
第三方服务端配置 SameSite 。
|
 |
8
alwaysol 2024-12-06 08:56:09 +08:00
Nginx 反代理,把第三方网页地址反代理成你的网页域名就可以共享 cookie
|
 |
9
dingxi 2024-12-06 09:25:08 +08:00
7L + 8L 可以试试, 以谷歌浏览器为例,不仅是服务端需要设置 SameSite ,浏览自带的安全限制也有 SameSite ,低版本可以直接修改为级别低,这样非同源的内嵌 iframe 的请求也会携带 cookie ,高版本不让修改。
同理 8L 也是为了伪装同源,让内嵌 iframe 绕过浏览器的 SameSite 限制 |
 |
10
fengpan567 2024-12-06 10:31:32 +08:00
无解了,换成 oauth 2.0 ,走 url 跳转吧
|
 |
11
skallz 2024-12-06 12:01:14 +08:00
@ltaoo1o 别说,以前还真接过类似的需求,不过两个域名都是可以使用的,方法是当一个域名页面登录后,获取该页面的 token 和 ip 和浏览器指纹,然后另一个域名网页登录后会检查是否有同 ip 与同浏览器指纹的数据,并且该数据更新时间需小于一定的时间间隔,如果有,则自动获取 token 进行登录
|
Select Language