如果用户使用相同的站点 cookie 属性 Lax 登录选项卡使用 NTLM 登录，则在另一个选项卡上用户不应在 iframe 中自动登录

配置： 我们有一个基于 cookie 的 SSO 应用程序（测试应用程序），它使用多个身份验证处理程序，如数据库、NTLM、Kerberos、LDAP 等。

当用户点击 URL (http://domainA.com:8080/test-app/dashboard) 时，它会重定向到 http://domainA.com:8080/test-app/login?service=/test-app/dashboard 以进行实际登录。

现在的场景是：

1. NTLM 认证模式
2. CSP 标头设置为 frame-ancestors: 'self'。表示 domainB 不是白名单域，应限制来自它的任何请求。
3. Cookie 相同站点属性模式：Lax。
4. 部署在 domainA 中的测试应用。
5. attacker-app(http://domainB.com:8080/attacker-app/) 部署在 domainB 中，它使用 iframe 中的测试应用登录 URL(http://domainA.com:8080/test-app/dashboard)。

实际行为：

用户通过点击 chrome 浏览器登录 test-app。攻击者 URL 位于包含 iframe 和测试应用登录 URL 的另一个选项卡上。用户自动登录。

预期行为：

1. domainB 未列入白名单，因此从 iframe 启动的 NTLM 登录应限制登录窗口。

解决方法

暂无找到可以解决该程序问题的有效方法，小编努力寻找整理中！

如果你已经找到好的解决方法，欢迎将解决方案带上本链接一起发送给小编。

小编邮箱:dio#foxmail.com (将#修改为@）