想象一下 2 个网站,都归我所有。在website-y.com上,用户可以点击一个链接:
<a href=https://website-x.com/get_secret_token>Get your secret</a>
这会将他带到website-x.com,服务器在那里生成一个秘密令牌,并将用户重定向回website-y.com:
302 REDIRECT https://website-y.com?secret_token=foo
现在website-y.com的服务器可以读取secret_token参数并做一些事情。
但是,如果秘密令牌对于website-y.com的服务器也是秘密的呢?
令牌应该只在浏览器中可用,因此 Javascript 函数可以获取它并做一些事情。
我已经检查了Web Storage作为只能由浏览器读取的解决方案,但显然我无法在不同来源之间共享数据(因此website-x.com无法存储website-y.com的内容)。
我是否有另一种方法可以将秘密从website-x.com传输到website-y.com,而不通过website-y.com的服务器发送?