问题描述
它实现了一个基于PHP / Vue.js的项目,该项目允许客户端将我们的服务嵌入到iframe窗口中。
第三方cookie的安全性在最近几年变得越来越严格。用户授权存在问题,尤其是在Safari中。
如何提供有关授权用户的信息,以及如何在iframe中嵌入的服务上对其进行身份验证以确保其安全性。这样,在重新加载页面后,用户仍然可以通过身份验证。
解决方法
要从第三方服务对用户进行身份验证,您必须使用 OAuth2 或 SAML2 协议。
使用 iFrame 验证用户可能会受到中间人攻击。例如:https://thepaypers.com/digital-identity-security-online-fraud/man-in-the-middle-breach-targets-iframe--764906
身份验证提供程序必须定义 X-Frame-Options 以避免点击劫持攻击。请参阅:https://developer.mozilla.org/fr/docs/Web/HTTP/Headers/X-Frame-Options