这是一个创建于 310 天前的主题,其中的信息可能已经有所发展或是发生改变。
目前项目内通过 iframe 内嵌一个三方的页面 三方页面内的接口如果要正常调用的话需要获取本地 cookie 里的有效 token 才能正常调用接口 目前三方页面提供了一个获取 token 的接口 需要在 A 页面调用然后接口直接在 cookie 里种 domain 为三方页面域名的 token 现在的问题在 A 页面调用之后无法成功种 token 请问这种思路有没有问题 有什么方案能解决这种需求呢(三方页面不改动的情况下)
 | 1 xuanbg 310 天前 我无法理解你要如何给 iframe 内嵌一个三方的页面灌一个 cookie 进去。不应该由第三方页面自己在 iframe 里面实现登录和跳转吗? |
 | 2 ltaoo1o 310 天前 同一个域名还有可能,两个完全没关联的网站不可能做到。 正常做法都是嵌入三方页面时,链接上会带授权信息,三方页面从链接上取授权信息。 |
 | 3 yinmin 310 天前 via iPhone 试试将写 cookie 的 js 代码注入到 iframe 第三方网页里 |
 | 4 rowink 310 天前 via Android 如果 iframe 的页面不能给注入 js ,那没什么办法。估计也只有配合浏览器插件能够做到,这个需求基本上就维持 iframe 界面的 token 持久化,浏览器插件就没有跨域之分了,但是这就是另一个问题了 |
 | 5 doommm 310 天前 iframe 内的网页是不是可以接受外部发过来的事件? |
| 6 doommm 310 天前 @doommm 比如通过这个 `window.postMessage` https://developer.mozilla.org/en-US/docs/Web/API/Window/postMessage |
 | 7 magicflower 309 天前 via Android 第三方服务端配置 SameSite 。 |
 | 8 alwaysol 309 天前 Nginx 反代理,把第三方网页地址反代理成你的网页域名就可以共享 cookie |
 | 9 dingxi 309 天前 7L + 8L 可以试试, 以谷歌浏览器为例,不仅是服务端需要设置 SameSite ,浏览自带的安全限制也有 SameSite ,低版本可以直接修改为级别低,这样非同源的内嵌 iframe 的请求也会携带 cookie ,高版本不让修改。 同理 8L 也是为了伪装同源,让内嵌 iframe 绕过浏览器的 SameSite 限制 |
 | 10 fengpan567 309 天前 无解了,换成 oauth 2.0 ,走 url 跳转吧 |
Select Language