如何解决如果用户使用相同的站点 cookie 属性 Lax 登录选项卡使用 NTLM 登录,则在另一个选项卡上用户不应在 iframe 中自动登录
配置: 我们有一个基于 cookie 的 SSO 应用程序(测试应用程序),它使用多个身份验证处理程序,如数据库、NTLM、Kerberos、LDAP 等。
当用户点击 URL (http://domainA.com:8080/test-app/dashboard) 时,它会重定向到 http://domainA.com:8080/test-app/login?service=/test-app/dashboard 以进行实际登录。
现在的场景是:
- NTLM 认证模式
- CSP 标头设置为 frame-ancestors: 'self'。表示 domainB 不是白名单域,应限制来自它的任何请求。
- Cookie 相同站点属性模式:Lax。
- 部署在 domainA 中的测试应用。
- attacker-app(http://domainB.com:8080/attacker-app/) 部署在 domainB 中,它使用 iframe 中的测试应用登录 URL(http://domainA.com:8080/test-app/dashboard)。
实际行为:
用户通过点击 chrome 浏览器登录 test-app。攻击者 URL 位于包含 iframe 和测试应用登录 URL 的另一个选项卡上。用户自动登录。
预期行为:
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。