3
私のウェブサイトから認証トークンをiframeに安全に渡す必要があります。私のiframeは私のウェブサイトと同じドメインにあります。機密情報をiframeに渡す安全な方法
authトークンをiframeのsrcプロパティにパラメータとして渡すのは安全ですか?私は意味:
<iframe src={"/purse/index.html?auth_token=" + token} />
UPDATE:私は(ログイン)現在のユーザーを除いて誰がトークンにアクセスする機会を持っていないことを意味し、安全なことで。
P.S.あなたの答えでは、私のアプローチでauth_tokenを盗まれる可能性もあると説明しています。
「安全」を定義する方法によって異なります。誰が実際にそれを隠したいのか。あなたのサイトのユーザーはもちろん、ソースコードを見たり、ブラウザの開発ツールでネットワークリクエストを確認したりして、その値を渡していることを確認できます。 – CBroe
さらに、HTTPリファラが懸念されるかもしれません。 iframe内のページに外部リソースが埋め込まれている場合、完全なiframe URLがリファラーとしてリモートサーバーに送信される可能性があります。 – CBroe
あなたはサーバー側の言語を使用していますか? – Pete