2022 年,各位大佬 safari 跨域数据共享有新方案?

2022-08-23 00:41:03 +08:00
 dusu

各位大佬好:

项目有多个域名,会被用户随机访问,

想在浏览器上共享用户的登录状态。

参考一些项目,基本上用姿势都差不多:

https://github.com/zendesk/cross-storage

嵌入 iframe 然后使用 postMessage

而且在 safari 上有这样一段说明:

Notes on Safari 7+ (OSX, iOS)

All cross-domain local storage access is disabled by default with Safari 7+. This is a result of the "Block cookies and other website data" privacy setting being set to "From third parties and advertisers". Any cross-storage client code will not crash, however, it will only have access to a sandboxed, isolated local storage instance. As such, none of the data previously set by other origins will be accessible. If an option, one could fall back to using root cookies for those user agents, or requesting the data from a server-side store.

也参考了这个讨论:

https://www.v2ex.com/t/520756

甚至特意还去翻了一下淘宝的代码,发现他们也是用的这个库:

https://www.taobao.com/wow/z/tbhome/default/kissy-search-suggest-iframe

但是 safari 下似乎也是行不通。

SO ,2022 年了,safari 除了

方案 A) 打开「 Prevent cross-site tracking 」

方案 B) 依次显式跳转到域名下写 cookie 或 storage

方案 C) iframe 挂载写 cookie(似乎此路不通)

还有别的黑科技吗?

感谢~

2246 次点击
所在节点    程序员
12 条回复
q1angch0u
2022-08-23 01:52:13 +08:00
但凡能解决,淘宝为啥不解决…
dingwen07
2022-08-23 03:47:22 +08:00
我觉得你们需要的是 Single Sign On
netnr
2022-08-23 08:25:20 +08:00
B 方案不用每个域都写吧,只需要用户授权域启用跨域且允许带 cookie 访问就可以,只是安全性降低了
lazyfighter
2022-08-23 09:24:10 +08:00
浏览器会开这个口子 我觉得基本不可能, 我有个办法供参考,cookie 种在主域下面, 其他域名改成子域名然后 cname 到之前的域名上面,如果跨主域了,就别想了,浏览器安全直接 0day 了
maggch97
2022-08-23 12:13:23 +08:00
Prevent cross-site tracking 这几个单词的英文的翻译是“阻止跨域追踪”
dudubaba
2022-08-23 17:51:21 +08:00
借助浏览器数据库或者远程接口是否可以? 比如访问任何一个网站登录后生成唯一 id (浏览器特征),然后上报 cookie 或用户关键信息,当访问其他域名站点时根据唯一 id 取到用户信息然后再生成一份 cookie 模拟登录,关键点就在这个唯一 id 怎么生成才算唯一。
dudubaba
2022-08-23 18:04:12 +08:00
@dudubaba 可以看下这个开源的浏览器指纹生成 基本可以满足你的需求了 https://github.com/fingerprintjs/fingerprintjs
dusu
2022-08-23 19:32:03 +08:00
@dudubaba
这个可是可以 能跟踪 能识别 但是不可靠
就像 bloomfilter 一样 只能粗筛不能精确
如果用在用户端
轻一点有可能会串账号
重一点有可能会被枚举整个库😂

不过以这个为基础去拓展
配合 ip 库 / 协议层指纹等
理论上应该是行的通的
dudubaba
2022-08-24 10:27:29 +08:00
@dusu 那变通一下,不用 cookie ,用 jwt 的方式,然后写个公共模版 包含一些域名的 iframe 调用,比如<iframe src="http://www.test2.com/getmessage.html" frameborder="0"></iframe>
dudubaba
2022-08-24 10:29:37 +08:00
@dudubaba 晕还没写完呢,<iframe src="http://www.test2.com/getmessage.html?token=xxxxxxx"></iframe> 这种,将 token 传到各域名后存本地,这样其他域名可以通过 HTTP Authorization 认证
dusu
2022-08-24 11:53:58 +08:00
@dudubaba 没用,safari 的策略是
在 A 域名下
无法写三方域名的 cookie 或者 storage
只要不是 A 的域名 就写不了
YsHaNg
2022-08-25 06:55:30 +08:00
用 user agent 的 fedCM

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/874686

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX