【发布时间】:2022-01-12 15:10:15
【问题描述】:
我们需要从外部合作伙伴安全网站中加载内部托管的 Angular UI。我们正在使用 OIDC 身份验证流调用内部 IDP 服务器来检索/验证用户令牌。
问题是我们无法对内部 IDP 服务器的规则进行自定义修改,以允许外部合作伙伴域有效地从 iframe 中调用(内容安全策略)。
这会导致我们收到与无效内容安全策略相关的错误,因为外部合作伙伴域不在 CSP 的允许域列表中。如果我们在公司内部域(在 CSP 中允许)内的 iframe 中提供此 UI,它就可以正常工作。
假设我们必须从合作伙伴网站内联(iframe 或其他)加载我们的内部 UI,并使用 oauth 模式对我们的用户进行身份验证,是否有任何可行的解决方案来解决这个问题?
我了解 CSP 和 x-frame-option 标头以这种方式设置是为了避免点击劫持安全风险,因此不确定在保持安全的同时可以向我们询问什么。最初的想法是可能在合作伙伴网站和我们的 UI 之间放置一个代理服务,并且代理服务将处理身份验证...绕过 CSP 规则...但看起来不一定安全,并且不确定如何实现,即使所以。任何想法或想法都会受到欢迎。谢谢!
【问题讨论】:
标签: iframe cross-domain openid-connect content-security-policy idp