目前项目内通过 iframe 内嵌一个三方的页面 三方页面内的接口如果要正常调用的话需要获取本地 cookie 里的有效 token 才能正常调用接口 目前三方页面提供了一个获取 token 的接口 需要在 A 页面调用然后接口直接在 cookie 里种 domain 为三方页面域名的 token 现在的问题在 A 页面调用之后无法成功种 token 请问这种思路有没有问题 有什么方案能解决这种需求呢(三方页面不改动的情况下)
1
xuanbg 21 天前
我无法理解你要如何给 iframe 内嵌一个三方的页面灌一个 cookie 进去。不应该由第三方页面自己在 iframe 里面实现登录和跳转吗?
|
2
ltaoo1o 21 天前
同一个域名还有可能,两个完全没关联的网站不可能做到。
正常做法都是嵌入三方页面时,链接上会带授权信息,三方页面从链接上取授权信息。 |
3
yinmin 21 天前 via iPhone
试试将写 cookie 的 js 代码注入到 iframe 第三方网页里
|
4
rowink 21 天前 via Android
如果 iframe 的页面不能给注入 js ,那没什么办法。估计也只有配合浏览器插件能够做到,这个需求基本上就维持 iframe 界面的 token 持久化,浏览器插件就没有跨域之分了,但是这就是另一个问题了
|
5
doommm 21 天前
iframe 内的网页是不是可以接受外部发过来的事件?
|
6
doommm 21 天前
@doommm 比如通过这个 `window.postMessage` https://developer.mozilla.org/en-US/docs/Web/API/Window/postMessage
|
7
magicflower 21 天前 via Android
第三方服务端配置 SameSite 。
|
8
alwaysol 21 天前
Nginx 反代理,把第三方网页地址反代理成你的网页域名就可以共享 cookie
|
9
dingxi 21 天前
7L + 8L 可以试试, 以谷歌浏览器为例,不仅是服务端需要设置 SameSite ,浏览自带的安全限制也有 SameSite ,低版本可以直接修改为级别低,这样非同源的内嵌 iframe 的请求也会携带 cookie ,高版本不让修改。
同理 8L 也是为了伪装同源,让内嵌 iframe 绕过浏览器的 SameSite 限制 |
10
fengpan567 21 天前
无解了,换成 oauth 2.0 ,走 url 跳转吧
|