我主要关注父页面和带有第三方链接的iframe之间的安全问题。
我想发送一个POST或GET(不要紧,因为我可以控制另一边)到第三方,但不暴露任何细节在它(说一个SID或用户令牌),并有它的HTML内容(JS/HTML/图像)加载到iframe。
我看过服务器端重定向,使用webclinet/webresponse创建代理,我很好奇是否有一个好的方法来做到这一点。
有没有人这样做过,或者认为安全是不可能的?见鬼,即使我在解决这个问题上找错了方向。
如果有人有任何例子,我将不胜感激。
欢呼,杰米
[编辑]我想我可能需要添加更多的细节。
假设我有一个父页面:https://mycompany.com/ShowThirdParty.
这有一个iframe在它的时刻,它将有另一个组件的内容(也属于我,或另一个团队更具体)
基本上我想发送一些凭证到内容在iframe在这样的方式,外部页面无法读取它,iframe被放入一个模态(我已经这样做了)和iframe有限制的内容与认证几乎无缝和不可见。
我目前有它作为一个通过JS动态生成的GET url,然后传递到iframe src参数,显然这是不安全的。
我想在一个完整的url上进行一些服务器端重定向,但我认为这是不可能的
您可以尝试使用AJAX并加载PHP脚本(对脚本进行任何参数编码/加密)来查询第三方页面并将响应加载到iframe中。不太确定你的代码是如何设置的,但应该有一个方法。
它也可以通过POST方法完成(使用POST将数据提交给iFrame),因为它是HTTPS,所以您发送给iFrame的数据是加密的。