u2f 开发指南未指定此部分:没有 www 前缀的单方面 AppId 是否适用于使用 www 前缀访问网站的访问者?浏览器会认为它们是匹配的吗?
如果没有,我相信 U2F 部署有两种选择,也不是很令人愉快的 IMO - 我在下面解释为什么会这样:
- 将所有 Web 用户从 www.example.com 重定向到 example.com,然后使用"example.com"方面。
- 提供至少描述两个方面的 JSON 资源:www.example.com、example.com
现在,我说必须处理"www."显然是不愉快的。我的理由是,单站点SSL证书(包括EV证书等更勤奋的证书)对Web用户透明地处理www前缀URL。我认为U2F没有理由认为这是一个安全漏洞,并且需要一种明确的方式来处理它。
浏览器不会将它们视为匹配项,除非有支持此功能的 JSON 资源。请参阅 FIDO AppID 和分面规范 v1.0:第 3.1 节 AppID 和分面 ID 断言的处理规则。