Message de message HTML5, l'origine peut-elle être altérée?

Question

J'essaie d'implémenter l'authentification interdomaine en utilisant HTML5.

Le domaine 2 affichera un message à domain1 Iframe pour obtenir les données, et le domain1 vérifiera l'origine et obtiendra les données. Les données de l'utilisateur seront l'adresse e-mail. Est-ce que quelqu'un peut altérer la propriété d'origine du message (par exemple en changeant le fichier hosts), prétendre que domain2, envoyer un message à domain1 Iframe, et obtenir l'adresse e-mail de l'utilisateur?

Merci

Tuco

Answer 1

Oui, l'utilisateur peut l'altérer.

Javascript est exécuté dans le navigateur de l'utilisateur. Tout ce qui se passe du côté client peut être contrôlé et manipulé par l'utilisateur. L'utilisateur n'a même pas besoin de manipuler le fichier hôte pour cela, il existe de nombreuses autres façons de falsifier les requêtes HTTP POST. Tout ce qui ne doit pas être manipulé par l'utilisateur doit être fait côté serveur. Lorsque vous avez besoin d'une authentification interdomaine, vous générez généralement un long numéro d'identification aléatoire (un jeton) sur le serveur qui héberge domain1. Ce jeton est envoyé à l'utilisateur et à l'autre serveur qui héberge domain2. Lorsque l'utilisateur visite ensuite domain2, il peut fournir le jeton fourni par domain1 (généralement dans le cadre de l'URL qui mène du domaine 1 au domaine 2). Cela permet à domain2 d'identifier l'utilisateur.