Yahoo和AOL正在向我的一个App Engine应用程序上的/_ah/xrds提交请求。 我的理解是,xrds 是提供 OpenID 时响应的一部分。 我不打算提供OpenID。 我现在假设有人试图利用 OpenID 系统中的漏洞来处理垃圾邮件等事情,因为我也收到了俄罗斯对此的请求。 这是我经验很少的领域,所以我的假设和问题可能不正确,请随时纠正我。
为什么雅虎和AOL向/_ah/xrds发送请求?
如何在python/webapp2中响应该请求,让他们知道我没有提供OpenID?
如果您可以在流程中发布此请求,这将有助于调试问题。但是,最可能的解释是Yahoo!和AOL正在尝试对提供的"领域"字符串执行发现,以确保可以从领域字符串指定的站点中发现return_to URL。这是 OpenID2 规范的第 11.1 节和第 13 节中指定的安全措施。
AOL OpenID 提供程序的正常流程是验证对领域字符串执行发现(第 13 节中的 XRDS)的 return_to URL(根据第 11.1 节)。如果无法验证return_to URL,则AOL将在UI中向用户显示警告消息。
可以在此处找到有关上述流程以及如何解决的相关更详细的描述:AOL openid网站验证