V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
beihu
V2EX  ›  程序员

关于跨域种 cookie 问题求问

  •  
  •   beihu · 12 天前 · 1081 次点击

    目前项目内通过 iframe 内嵌一个三方的页面 三方页面内的接口如果要正常调用的话需要获取本地 cookie 里的有效 token 才能正常调用接口 目前三方页面提供了一个获取 token 的接口 需要在 A 页面调用然后接口直接在 cookie 里种 domain 为三方页面域名的 token 现在的问题在 A 页面调用之后无法成功种 token 请问这种思路有没有问题 有什么方案能解决这种需求呢(三方页面不改动的情况下)

    14 条回复    2024-12-06 15:14:37 +08:00
    xuanbg
        1
    xuanbg  
       12 天前
    我无法理解你要如何给 iframe 内嵌一个三方的页面灌一个 cookie 进去。不应该由第三方页面自己在 iframe 里面实现登录和跳转吗?
    ltaoo1o
        2
    ltaoo1o  
       12 天前
    同一个域名还有可能,两个完全没关联的网站不可能做到。

    正常做法都是嵌入三方页面时,链接上会带授权信息,三方页面从链接上取授权信息。
    yinmin
        3
    yinmin  
       12 天前 via iPhone
    试试将写 cookie 的 js 代码注入到 iframe 第三方网页里
    rowink
        4
    rowink  
       12 天前 via Android
    如果 iframe 的页面不能给注入 js ,那没什么办法。估计也只有配合浏览器插件能够做到,这个需求基本上就维持 iframe 界面的 token 持久化,浏览器插件就没有跨域之分了,但是这就是另一个问题了
    doommm
        5
    doommm  
       12 天前
    iframe 内的网页是不是可以接受外部发过来的事件?
    doommm
        6
    doommm  
       12 天前
    magicflower
        7
    magicflower  
       12 天前 via Android
    第三方服务端配置 SameSite 。
    alwaysol
        8
    alwaysol  
       12 天前
    Nginx 反代理,把第三方网页地址反代理成你的网页域名就可以共享 cookie
    dingxi
        9
    dingxi  
       12 天前
    7L + 8L 可以试试, 以谷歌浏览器为例,不仅是服务端需要设置 SameSite ,浏览自带的安全限制也有 SameSite ,低版本可以直接修改为级别低,这样非同源的内嵌 iframe 的请求也会携带 cookie ,高版本不让修改。
    同理 8L 也是为了伪装同源,让内嵌 iframe 绕过浏览器的 SameSite 限制
    fengpan567
        10
    fengpan567  
       12 天前
    无解了,换成 oauth 2.0 ,走 url 跳转吧
    skallz
        11
    skallz  
       12 天前
    @ltaoo1o 别说,以前还真接过类似的需求,不过两个域名都是可以使用的,方法是当一个域名页面登录后,获取该页面的 token 和 ip 和浏览器指纹,然后另一个域名网页登录后会检查是否有同 ip 与同浏览器指纹的数据,并且该数据更新时间需小于一定的时间间隔,如果有,则自动获取 token 进行登录
    skallz
        12
    skallz  
       12 天前
    @skallz 说错,不是另一个网页登录,是另一个网页进入后
    ltaoo1o
        13
    ltaoo1o  
       12 天前
    @skallz 理解,不过这个逻辑依赖后端保存「同浏览器指纹的数据」吧,A 域登录获取 token ,B 域要如何「检查」呢
    skallz
        14
    skallz  
       12 天前
    @ltaoo1o B 域页面进入后发起请求,带上浏览器指纹和 ip ,服务端查询,有符合条件的则返回 token ,B 域网页再拿到 token 进入登录状态
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3141 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 12:59 · PVG 20:59 · LAX 04:59 · JFK 07:59
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.