如何安全地验证 iframe 中的跨域（不包括第三方 cookie）？

Posted 2023-03-14

【中文标题】如何安全地验证 iframe 中的跨域（不包括第三方 cookie）？

【英文标题】：How to securely authenticate cross-domains in an iframe (excluding third-party cookies)?

【发布时间】：2021-02-15 02:06:25

【问题描述】：

它实现了一个基于 php / Vue.js 的项目，允许客户将我们的服务嵌入到 iframe 窗口中。

第三方 cookie 的安全性，近年来它们变得越来越严格。用户授权存在问题，尤其是在 Safari 中。

如何提供有关授权用户的信息并在 iframe 中嵌入的服务上启用其身份验证以确保其安全性。这样用户在重新加载页面后仍然可以通过身份验证。

【问题讨论】：

你找到解决办法了吗？

【参考方案1】：

要通过第三方服务对用户进行身份验证，您必须使用 OAuth2 或 SAML2 协议。

使用 iFrame 验证用户可能会受到中间人攻击。例如：https://thepaypers.com/digital-identity-security-online-fraud/man-in-the-middle-breach-targets-iframe--764906

身份验证提供程序必须定义X-Frame-Options 以避免点击劫持攻击。见：https://developer.mozilla.org/fr/docs/Web/HTTP/Headers/X-Frame-Options