【发布时间】:2021-06-21 16:28:33
【问题描述】:
我正在寻找一种在一个 web 应用与第二个 web 应用的前端之间安全共享令牌的方法。
环境详情:
- webapp.local:一个 PHP 网络应用程序,它记录了一些仅限特定用户使用的数据。此网络应用只能通过 VPN 访问。
- otherwebapp.example:这是一个 Zendesk 实例,它允许我们创建在客户端加载的插件(HTML + JavaScript)。
注意事项:
- webapp.local 和 otherwebapp.example 使用不同的域(它们不是子域)。
- otherwebapp.example 无法访问 webapp.local。但前端将能够(用户已连接到 VPN)。
我做了一些研究,发现了一些选择:
- HTTP Coockies:“SameSite”必须是“None”(reference),这是一个安全的选项吗?我做了一些测试,似乎它们需要在同一个子域上。
- JS postMessage:它需要打开一个弹出窗口或一个 iframe,我做了一些测试,但仍然试图让它工作。
问题是: 是否有最佳实践或其他方式在 web 应用和位于其他域/应用的前端之间共享敏感数据(令牌)?
【问题讨论】:
标签: javascript html web zendesk zendesk-api