关于跨域种 cookie 问题求问

6 天前
 beihu

目前项目内通过 iframe 内嵌一个三方的页面 三方页面内的接口如果要正常调用的话需要获取本地 cookie 里的有效 token 才能正常调用接口 目前三方页面提供了一个获取 token 的接口 需要在 A 页面调用然后接口直接在 cookie 里种 domain 为三方页面域名的 token 现在的问题在 A 页面调用之后无法成功种 token 请问这种思路有没有问题 有什么方案能解决这种需求呢(三方页面不改动的情况下)

1015 次点击
所在节点    程序员
14 条回复
xuanbg
6 天前
我无法理解你要如何给 iframe 内嵌一个三方的页面灌一个 cookie 进去。不应该由第三方页面自己在 iframe 里面实现登录和跳转吗?
ltaoo1o
6 天前
同一个域名还有可能,两个完全没关联的网站不可能做到。

正常做法都是嵌入三方页面时,链接上会带授权信息,三方页面从链接上取授权信息。
yinmin
6 天前
试试将写 cookie 的 js 代码注入到 iframe 第三方网页里
rowink
6 天前
如果 iframe 的页面不能给注入 js ,那没什么办法。估计也只有配合浏览器插件能够做到,这个需求基本上就维持 iframe 界面的 token 持久化,浏览器插件就没有跨域之分了,但是这就是另一个问题了
doommm
6 天前
iframe 内的网页是不是可以接受外部发过来的事件?
doommm
6 天前
@doommm 比如通过这个 `window.postMessage` https://developer.mozilla.org/en-US/docs/Web/API/Window/postMessage
magicflower
6 天前
第三方服务端配置 SameSite 。
alwaysol
6 天前
Nginx 反代理,把第三方网页地址反代理成你的网页域名就可以共享 cookie
dingxi
6 天前
7L + 8L 可以试试, 以谷歌浏览器为例,不仅是服务端需要设置 SameSite ,浏览自带的安全限制也有 SameSite ,低版本可以直接修改为级别低,这样非同源的内嵌 iframe 的请求也会携带 cookie ,高版本不让修改。
同理 8L 也是为了伪装同源,让内嵌 iframe 绕过浏览器的 SameSite 限制
fengpan567
6 天前
无解了,换成 oauth 2.0 ,走 url 跳转吧
skallz
6 天前
@ltaoo1o 别说,以前还真接过类似的需求,不过两个域名都是可以使用的,方法是当一个域名页面登录后,获取该页面的 token 和 ip 和浏览器指纹,然后另一个域名网页登录后会检查是否有同 ip 与同浏览器指纹的数据,并且该数据更新时间需小于一定的时间间隔,如果有,则自动获取 token 进行登录
skallz
6 天前
@skallz 说错,不是另一个网页登录,是另一个网页进入后
ltaoo1o
6 天前
@skallz 理解,不过这个逻辑依赖后端保存「同浏览器指纹的数据」吧,A 域登录获取 token ,B 域要如何「检查」呢
skallz
6 天前
@ltaoo1o B 域页面进入后发起请求,带上浏览器指纹和 ip ,服务端查询,有符合条件的则返回 token ,B 域网页再拿到 token 进入登录状态

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1095348

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX