Yahoo 和 AOL 正在我的一个 App Engine 应用程序上向 /_ah/xrds 提交请求。我的理解是 xrds 是提供 OpenIDs时响应的一部分。我不打算提供 OpenID。我现在假设有人试图利用 OpenID 系统中的漏洞来处理垃圾邮件之类的事情,因为我也收到了来自俄罗斯的请求。这是一个我很少有经验的领域,所以我的假设可能不正确,有问题可以随时纠正我。
为什么 Yahoo 和 AOL 向 /_ah/xrds 发送请求?
如何在 python/webapp2 中响应该请求,让他们知道我不提供 OpenID?
如果您可以在流程中发布,则此请求即将到来,它将有助于调试问题。然而,最有可能的解释是 Yahoo! 并且 AOL 正在尝试对提供的“领域”字符串执行发现,以确保可以从领域字符串指定的站点中发现 return_to URL。这是 OpenID2 规范第 11.1 和 13 节中指定的安全措施。
AOL OpenID 提供程序的正常流程是验证 return_to URL(根据第 11.1 节),该 URL 对领域字符串执行发现(第 13 节中的 XRDS)。如果无法验证 return_to URL,则 AOL 将在 UI 中向用户显示警告消息。
可以在此处找到有关上述流程的更详细描述以及如何解决:AOL openid 网站验证