u2f dev guide未指定此部分:没有www前缀的单面AppId是否适用于访问使用www前缀的网站的访问者?浏览器会认为它们匹配吗?
如果没有,我相信U2F部署有两种选择,既不是非常愉快的IMO - 我在下面解释原因:
现在,我说必须处理" www。"显然不愉快。我的理由是单站点SSL证书(包括更加勤奋的证书,如EV证书)对Web用户透明地处理www前缀URL。我认为U2F没有理由认为这是一个安全漏洞,并且需要一种明确的方法来处理它。
答案 0 :(得分:2)
除非有支持此功能的JSON资源,否则浏览器不会将它们视为匹配项。请参阅FIDO AppID和Facet Specification v1.0:Section 3.1 Processing Rules for AppID and FacetID Assertions。