V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
dusu
V2EX  ›  程序员

2022 年,各位大佬 safari 跨域数据共享有新方案?

  •  
  •   dusu · 2022-08-23 00:41:03 +08:00 · 2227 次点击
    这是一个创建于 809 天前的主题,其中的信息可能已经有所发展或是发生改变。

    各位大佬好:

    项目有多个域名,会被用户随机访问,

    想在浏览器上共享用户的登录状态。

    参考一些项目,基本上用姿势都差不多:

    https://github.com/zendesk/cross-storage

    嵌入 iframe 然后使用 postMessage

    而且在 safari 上有这样一段说明:

    Notes on Safari 7+ (OSX, iOS)
    
    All cross-domain local storage access is disabled by default with Safari 7+. This is a result of the "Block cookies and other website data" privacy setting being set to "From third parties and advertisers". Any cross-storage client code will not crash, however, it will only have access to a sandboxed, isolated local storage instance. As such, none of the data previously set by other origins will be accessible. If an option, one could fall back to using root cookies for those user agents, or requesting the data from a server-side store.
    

    也参考了这个讨论:

    https://www.v2ex.com/t/520756

    甚至特意还去翻了一下淘宝的代码,发现他们也是用的这个库:

    https://www.taobao.com/wow/z/tbhome/default/kissy-search-suggest-iframe

    但是 safari 下似乎也是行不通。

    SO ,2022 年了,safari 除了

    方案 A) 打开「 Prevent cross-site tracking 」

    方案 B) 依次显式跳转到域名下写 cookie 或 storage

    方案 C) iframe 挂载写 cookie(似乎此路不通)

    还有别的黑科技吗?

    感谢~

    12 条回复    2022-08-25 06:55:30 +08:00
    q1angch0u
        1
    q1angch0u  
       2022-08-23 01:52:13 +08:00 via iPhone
    但凡能解决,淘宝为啥不解决…
    dingwen07
        2
    dingwen07  
       2022-08-23 03:47:22 +08:00
    我觉得你们需要的是 Single Sign On
    netnr
        3
    netnr  
       2022-08-23 08:25:20 +08:00 via Android
    B 方案不用每个域都写吧,只需要用户授权域启用跨域且允许带 cookie 访问就可以,只是安全性降低了
    lazyfighter
        4
    lazyfighter  
       2022-08-23 09:24:10 +08:00
    浏览器会开这个口子 我觉得基本不可能, 我有个办法供参考,cookie 种在主域下面, 其他域名改成子域名然后 cname 到之前的域名上面,如果跨主域了,就别想了,浏览器安全直接 0day 了
    maggch97
        5
    maggch97  
       2022-08-23 12:13:23 +08:00
    Prevent cross-site tracking 这几个单词的英文的翻译是“阻止跨域追踪”
    dudubaba
        6
    dudubaba  
       2022-08-23 17:51:21 +08:00
    借助浏览器数据库或者远程接口是否可以? 比如访问任何一个网站登录后生成唯一 id (浏览器特征),然后上报 cookie 或用户关键信息,当访问其他域名站点时根据唯一 id 取到用户信息然后再生成一份 cookie 模拟登录,关键点就在这个唯一 id 怎么生成才算唯一。
    dudubaba
        7
    dudubaba  
       2022-08-23 18:04:12 +08:00
    @dudubaba 可以看下这个开源的浏览器指纹生成 基本可以满足你的需求了 https://github.com/fingerprintjs/fingerprintjs
    dusu
        8
    dusu  
    OP
       2022-08-23 19:32:03 +08:00 via iPhone
    @dudubaba
    这个可是可以 能跟踪 能识别 但是不可靠
    就像 bloomfilter 一样 只能粗筛不能精确
    如果用在用户端
    轻一点有可能会串账号
    重一点有可能会被枚举整个库😂

    不过以这个为基础去拓展
    配合 ip 库 / 协议层指纹等
    理论上应该是行的通的
    dudubaba
        9
    dudubaba  
       2022-08-24 10:27:29 +08:00
    @dusu 那变通一下,不用 cookie ,用 jwt 的方式,然后写个公共模版 包含一些域名的 iframe 调用,比如<iframe src="http://www.test2.com/getmessage.html" frameborder="0"></iframe>
    dudubaba
        10
    dudubaba  
       2022-08-24 10:29:37 +08:00
    @dudubaba 晕还没写完呢,<iframe src="http://www.test2.com/getmessage.html?token=xxxxxxx"></iframe> 这种,将 token 传到各域名后存本地,这样其他域名可以通过 HTTP Authorization 认证
    dusu
        11
    dusu  
    OP
       2022-08-24 11:53:58 +08:00 via iPhone
    @dudubaba 没用,safari 的策略是
    在 A 域名下
    无法写三方域名的 cookie 或者 storage
    只要不是 A 的域名 就写不了
    YsHaNg
        12
    YsHaNg  
       2022-08-25 06:55:30 +08:00
    用 user agent 的 fedCM
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   959 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 21:07 · PVG 05:07 · LAX 13:07 · JFK 16:07
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.