【发布时间】:2018-02-19 07:30:55
【问题描述】:
【问题讨论】:
标签: amazon-cognito
【发布时间】:2018-02-19 07:30:55
【问题描述】:
我不确定这是多少“答案”,但我还没有足够的声誉发表评论,我认为这是相关的。接受的答案根本没有真正解决 iframe。
我在任何地方都找不到它的文档,但我猜 AWS 不允许这样做,因为存在点击劫持问题。
Microsoft 的 Azure AD B2C(类似于 Cognito 的产品)的常见问题页面解释了为什么他们不允许将其托管页面嵌入到 iframe 中:
不,出于安全原因,无法在其中打开 Azure AD B2C 页面 一个 iFrame。我们的服务与浏览器通信以禁止 iFrame。整个安全社区和 OAUTH2 规范,建议不要使用 iFrames 作为标识 由于点击劫持的风险体验。
来源: https://docs.microsoft.com/en-us/azure/active-directory-b2c/active-directory-b2c-faqs
【讨论】:
-
几年过去了,现在 Azure AD B2C 支持嵌入 iframe(该功能处于公共预览阶段)。docs.microsoft.com/en-us/azure/active-directory-b2c/…
你可以在 Github 上查看这篇文章:https://github.com/aws/amazon-cognito-identity-js/issues/508。在 ildar-icoosoft 的回复中,他展示了他如何设法将托管的 ui 放入一个弹出窗口中。希望这可以帮助
【讨论】:
-
您能否将此作为功能请求添加到托管 UI 中?在对话框中运行替代版本的可能性?
-
我们收到了很多关于自定义域名的反馈。它在我们的路线图上。
-
@SummerGuo 有关此功能的任何更新?现在有办法使用 iframe 吗?
如果其他人正在寻找这个:事实证明,如果您将 iframe 的 document.domain 设置为 amazoncognito.com,cognito 将在 iframe 中运行。当然,您尝试加载的底层资源必须在具有该域的 iframe 内运行。如果该底层资源使用 cookie,则在用户浏览器禁用 3rd 方 cookie 时它们将无法工作。
【讨论】:
-
这不是一个有效的解决方案。请下次使用评论选项来获得类似的答案。
-
有例子吗?不确定你在说什么/如何。
-
Document.domain 已被弃用并且存在安全风险。