上下文
我正在使用一个将iframe附加到网站的WebExtension(目前仅适用于Chrome)。父窗口可以是我的用户可以访问的任何网站。 iframe的来源是本地扩展网址(例如chrome-extension://aioneahjkkfbncifpekfheecjplgheru/widget/index.html
)。
我想进行社交认证(Facebook,Twitter,Google)。这就是为什么我需要从该子iframe打开一个弹出窗口,该窗口将对用户进行身份验证,并使用postMessage
将回调身份验证令牌发送回iframe。
问题
包含iframe的父窗口是否可以拦截该登录令牌?
我最担心的是,每当我的用户:(1)访问该网站时,有人会恶意创建一个拦截身份验证令牌的网站,(2)使用我的扩展程序将iframe注入该网站,(3)使用社会认证从该iframe登录。
视觉表现