如何在书签中进行身份验证？

Question

我希望我的书签要求用户登录。 这是想法......我创建一个 iframe 供用户登录，并显示 a/c 信息。 但我想从服务器获取一些信息，例如，我想知道用户是否已经将此页面添加到我的服务器中。所以，我想进行ajax调用，但是由于同源策略，我无法通过ajax来完成。那么，如何从 iframe 中获取信息呢？

故事是这样的：

用户网站 ->用户单击书签 ->如果已登录->显示“添加到收藏夹”按钮 ->用户点击添加到收藏夹按钮，url被提交到服务器，重新加载服务器。

用户网站 ->用户单击书签 ->如果没有登录->显示登录按钮 ->登录成功->按照之前的流程进行操作

用户网站 ->用户单击书签 ->如果已登录 ->检查该网站是否已添加到服务器上 ->没有收藏按钮

如您所见，只有 iframe 存储登录用户的信息。

Answer 1

您所做的事情是不可能的，因为它违反了源继承规则。这样想吧。如果您可以从其他网站获取这种风格的信息，那么您可以阅读 CSRF 令牌，或者从某人的 Gmail 帐户中读取其电子邮件。

说到 CSRF，大多数登录只是一个带有用户名/密码的简单帖子。您在网站上构建一个简单的

，它与登录所需的 POST 请求相同。使用 JavaScript，您可以在表单上调用 .submit()，这会将浏览器重定向到新验证的会话。事实上，这就是基于 POST 的 CSRF 漏洞的工作原理（尽管通常是在 CSRF 攻击中）您假设浏览器已经通过身份验证。）。

当然，这并不适用于所有应用程序，例如 OpenID 或 gmail。这是因为这些服务通常在登录请求中包含随机值。