u2f开发指南未指定这部分:没有 www 前缀的单面 AppId 是否适用于使用 www 前缀访问站点的访问者?浏览器会认为它们是匹配的吗?
如果不是,我相信 U2F 部署有两种选择,IMO 都不是很愉快 - 我在下面解释为什么会这样:
- 将所有网络用户从 www.example.com 重定向到 example.com,然后使用“example.com”方面。
- 提供至少描述两个方面的 JSON 资源:www.example.com、example.com
现在,我说不得不处理“www”。明确地是不愉快的。我的理由是单站点 SSL 证书(包括更勤奋的证书,如 EV-certs)对 Web 用户透明地处理 www-prefix URL。我认为 U2F 没有理由认为这是一个安全漏洞并需要一种明确的方式来处理它。