我需要允许用户通过iframe登录到我网站的一种特定路由。此登录功能与主要登录设置是分开的,因此,即使攻击者获得了访问Cookie或JWT的权限,他们也只能访问此一条路由。
我尝试将JWT发送给用户,然后用户可以使用src通过iframe发送它。一切都很好,但是我觉得这太脆弱了。
最好将一个将sameSite设置为false的会话设置为更好,这样用户就不需要通过iframe发送任何JWT,iframe可以简单地根据向后端的请求读取会话。
或者您能想到另一种通过iframe进行用户身份验证的方法吗?