各位大佬好:
项目有多个域名,会被用户随机访问,
想在浏览器上共享用户的登录状态。
参考一些项目,基本上用姿势都差不多:
https://github.com/zendesk/cross-storage
嵌入 iframe 然后使用 postMessage
而且在 safari 上有这样一段说明:
Notes on Safari 7+ (OSX, iOS)
All cross-domain local storage access is disabled by default with Safari 7+. This is a result of the "Block cookies and other website data" privacy setting being set to "From third parties and advertisers". Any cross-storage client code will not crash, however, it will only have access to a sandboxed, isolated local storage instance. As such, none of the data previously set by other origins will be accessible. If an option, one could fall back to using root cookies for those user agents, or requesting the data from a server-side store.
也参考了这个讨论:
甚至特意还去翻了一下淘宝的代码,发现他们也是用的这个库:
https://www.taobao.com/wow/z/tbhome/default/kissy-search-suggest-iframe
但是 safari 下似乎也是行不通。
SO ,2022 年了,safari 除了
方案 A) 打开「 Prevent cross-site tracking 」
方案 B) 依次显式跳转到域名下写 cookie 或 storage
方案 C) iframe 挂载写 cookie(似乎此路不通)
还有别的黑科技吗?
感谢~
1
q1angch0u 2022-08-23 01:52:13 +08:00 via iPhone
但凡能解决,淘宝为啥不解决…
|
2
dingwen07 2022-08-23 03:47:22 +08:00
我觉得你们需要的是 Single Sign On
|
3
netnr 2022-08-23 08:25:20 +08:00 via Android
B 方案不用每个域都写吧,只需要用户授权域启用跨域且允许带 cookie 访问就可以,只是安全性降低了
|
4
lazyfighter 2022-08-23 09:24:10 +08:00
浏览器会开这个口子 我觉得基本不可能, 我有个办法供参考,cookie 种在主域下面, 其他域名改成子域名然后 cname 到之前的域名上面,如果跨主域了,就别想了,浏览器安全直接 0day 了
|
5
maggch97 2022-08-23 12:13:23 +08:00
Prevent cross-site tracking 这几个单词的英文的翻译是“阻止跨域追踪”
|
6
dudubaba 2022-08-23 17:51:21 +08:00
借助浏览器数据库或者远程接口是否可以? 比如访问任何一个网站登录后生成唯一 id (浏览器特征),然后上报 cookie 或用户关键信息,当访问其他域名站点时根据唯一 id 取到用户信息然后再生成一份 cookie 模拟登录,关键点就在这个唯一 id 怎么生成才算唯一。
|
7
dudubaba 2022-08-23 18:04:12 +08:00
@dudubaba 可以看下这个开源的浏览器指纹生成 基本可以满足你的需求了 https://github.com/fingerprintjs/fingerprintjs
|
8
dusu OP @dudubaba
这个可是可以 能跟踪 能识别 但是不可靠 就像 bloomfilter 一样 只能粗筛不能精确 如果用在用户端 轻一点有可能会串账号 重一点有可能会被枚举整个库😂 不过以这个为基础去拓展 配合 ip 库 / 协议层指纹等 理论上应该是行的通的 |
9
dudubaba 2022-08-24 10:27:29 +08:00
@dusu 那变通一下,不用 cookie ,用 jwt 的方式,然后写个公共模版 包含一些域名的 iframe 调用,比如<iframe src="http://www.test2.com/getmessage.html" frameborder="0"></iframe>
|
10
dudubaba 2022-08-24 10:29:37 +08:00
@dudubaba 晕还没写完呢,<iframe src="http://www.test2.com/getmessage.html?token=xxxxxxx"></iframe> 这种,将 token 传到各域名后存本地,这样其他域名可以通过 HTTP Authorization 认证
|
11
dusu OP |
12
YsHaNg 2022-08-25 06:55:30 +08:00
用 user agent 的 fedCM
|