V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
jmyz0455
V2EX  ›  程序员

淘宝和天猫是如何使用同一个 iframe src 的?

  •  
  •   jmyz0455 · 2019-11-04 20:06:45 +08:00 · 1532 次点击
    这是一个创建于 1850 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近要做跨站登录的需求,相当于是想要在 aaa.com 下登录,然后 token 能传给 bbb.com 使用,这样 bbb.com 就不用额外登陆了,注意两个网站的顶级域名是完全不一样的。

    我第一时间想到有这样做的网站就是阿里的 taobao.comtmall.com ,然后发现淘宝和天猫的页面都有一条公共的 iframe 代码,而且资源地址是一样的:src="//g.alicdn.com/alilog/oneplus/blk.html#coid=****&noid="

    我换个浏览器再试,同时打开淘宝和天猫,发现 src 路径里的 coid 虽然变了但是两个网站却是一样的。可我的淘宝和天猫都没有登陆而且还是用隐私模式访问,按道理来讲两者是互不知道对方的存在,但是为什么能生成唯一的 coid (对应同一个浏览器)?

    百思不得其解,v 友可以高见?

    jmyz0455
        1
    jmyz0455  
    OP
       2019-11-05 11:23:56 +08:00
    怎么有三个人收藏,但是没人回答的呀,帮顶一下都好嘛。

    我发现本地有个 g.alicdn.com 的 cookie,里面有个 _lastvisited 的值是这个 iframe src 的 coid。
    我尝试把所有本地存储都清空,发现 cookie 会刷新,我的一个猜想是无论是淘宝还是天猫,页面加载完成后会寻找这个 g.alicdn.com 的 _lastvisited,如果没有就请求某个 g.alicdn.com 的接口。最后用这个 cookie 拼出 coid,放到 iframe 的 src 里请求。

    当然只是个人愚见,望点评。还有这种多站共用一个域名的 cookie,如果去考虑网络安全的问题呢?需要预防哪些 xss 攻击?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3495 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 04:58 · PVG 12:58 · LAX 20:58 · JFK 23:58
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.