我正在尝试使用 HTML5 实现跨域身份验证。
domain 2 会向 domain1 iframe 发送消息以获取数据, domain1 会检查来源并获取数据。用户数据将是电子邮件地址。
有人可以篡改消息的原始属性(例如通过更改主机文件),伪装成 domain2,将消息发布到 domain1 Iframe,并获取用户的电子邮件地址吗?
谢谢
图科
问问题
97 次
1 回答
2
是的,用户可以篡改它。
Javascript 在用户的网络浏览器中执行。客户端发生的一切都可以由用户控制和操纵。用户甚至不必为此操作主机文件,还有许多其他方法可以伪造 HTTP POST 请求。
任何不能被用户操作的东西都必须在服务器端完成。
当您需要跨域身份验证时,您通常会在托管 domain1 的服务器上生成一个长的随机 ID 号(也称为令牌)。此令牌既发送给用户,也发送给托管 domain2 的其他服务器。当用户随后访问域 2 时,它可以提供从域 1 获得的令牌(通常作为从域 1 到域 2 的 URL 的一部分)。这允许 domain2 识别用户。
于 2012-10-23T11:35:20.787 回答