我必须以安全的方式将身份验证令牌从我的网站传递给我的iframe。我的iframe与我的网站位于同一个域中。
将auth令牌作为参数传递给iframe的src属性是否安全?我的意思是:
<iframe src={"/purse/index.html?auth_token=" + token} />
UPDATE:安全我的意思是除了当前(已登录)用户之外没有人有机会访问该令牌。
P.S。在你的回答中,请描述auth_token可能被我的方法偷走的方式
答案 0 :(得分:2)
从技术上讲,auth_token不提供安全性,它提供身份。安全性将由您的加密和身份验证系统提供,通常是SSL,具有某种形式的登录。 auth_token通常在身份验证后设置,并通过SSL加密连接传递回用户。基于&#39; src&#39;在提供的代码段中,它似乎是相同的应用程序空间 - 没有主机信息会提示不同的主机。如果仍然使用SSL来加密连接,那么其他任何人都不应该担心看到&#39;用户auth_token。