如果用户使用相同的站点 cookie 属性 Lax 登录选项卡使用 NTLM 登录，则在另一个选项卡上用户不应在 iframe 中自动登录

如何解决如果用户使用相同的站点 cookie 属性 Lax 登录选项卡使用 NTLM 登录，则在另一个选项卡上用户不应在 iframe 中自动登录

配置： 我们有一个基于 cookie 的 SSO 应用程序（测试应用程序），它使用多个身份验证处理程序，如数据库、NTLM、Kerberos、LDAP 等。

当用户点击 URL (http://domainA.com:8080/test-app/dashboard) 时，它会重定向到 http://domainA.com:8080/test-app/login?service=/test-app/dashboard 以进行实际登录。

现在的场景是：

1. NTLM 认证模式
2. CSP 标头设置为 frame-ancestors: 'self'。表示 domainB 不是白名单域，应限制来自它的任何请求。
3. Cookie 相同站点属性模式：Lax。
4. 部署在 domainA 中的测试应用。
5. attacker-app(http://domainB.com:8080/attacker-app/) 部署在 domainB 中，它使用 iframe 中的测试应用登录 URL(http://domainA.com:8080/test-app/dashboard)。

实际行为：

用户通过点击 chrome 浏览器登录 test-app。攻击者 URL 位于包含 iframe 和测试应用登录 URL 的另一个选项卡上。用户自动登录。

预期行为：

1. domainB 未列入白名单，因此从 iframe 启动的 NTLM 登录应限制登录窗口。

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容， 请发送邮件至 dio@foxmail.com 举报，一经查实，本站将立刻删除。