在我的域中的另一個域上填充用戶名和密碼？

Question

我收到了一個請求，但我找不到實現它的安全方法。如果你知道一個安全的方法來做到這一點，請讓我知道。

我正在使用ASP.NET MVC開發www.abcd.com。客戶端已經有一個帶有認證系統的xyz.abcd.com域。他們希望我在www.abcd.com上創建一個頁面，用戶可以在其中輸入用戶名和密碼，然後通過點擊登錄按鈕，在新窗口中打開xyz.abcd.com/login頁面並填充用戶名和密碼與用戶在我的頁面中輸入的內容。

1. 我無法從服務器端找到辦法。
2. 如果我想在客戶端執行此操作，我認爲它違反了「同源策略」，並且我不確定在www.abcd.com和xyz.abcd.com上運行SSL是否安全足以做這樣的事情。

如果有安全的解決方案，請讓我知道嗎？

Answer 1

我認爲子域名應用程序（在xyz.abcd.com上）應該有明確的支持，例如從請求參數填充它的字段或者可能是一個cookie（儘管我寧願不這樣做，特別是不是在密碼的情況下）。

如果子域名應用程序不支持這一點，我認爲你不能填充它的字段，甚至不能從abcd.com填充，更不用說來自另一個域名。

請注意，它會是一個自動填充密碼字段的漏洞（當然也是最佳做法），甚至應該設置autocomplete =「off」以防止瀏覽器本身填充它。

不知道這些應用程序的上下文，我懷疑你需要某種單一登錄才能實現真正的目標。