原本客户提出了一个需求,要在 ie11 浏览器上做跨站点的 token 共享。比如客户自己有四个网站,想要在其中一个网站上登录,其他三个网站也能登录。
当时我参照淘宝天猫的模式写了一个 Demo,就是在页面里面加载同一个 iframe,然后通过 window.contentWindow.postMessage 给 iframe 发数据写到 cookie 里,然后打开其他三个网站后,新的网站也加载同一个 iframe,让 iframe 通过 window.parent.postMessage 把 cookie 返回来。
Demo 放在外网环境,两个页面和 iframe src 都是通过 https 域名访问的,chrome 和 ie11 都没问题。
当时我展示了这个 Demo,跟客户说是可行的。但是现在去到客户的现场,发现客户这个四个网站是放在内网里的,没有域名,通过 IP 加端口的链接去访问,没有配 ssl,直接就是 http://ip:port 这样的链接去访问。
Demo 立马就跑不通了,ie11 没有任何反应,chrome 也报警告:“A cookie associated with a cross-site resource at http://dev-testboss.justgoai.... was set without the SameSite attribute. A future release of Chrome will only deliver cookies with cross-site requests if they are set with SameSite=None and Secure. You can review cookies in developer tools under Application>Storage>Cookies and see more details at https://www.chromestatus.com/... and https://www.chromestatus.com/...”,因为没有配 http,想强行设置 SameSite=None 和 Secure 也没有效果。
我有个简单粗暴的方法你可以考虑试一下,就是安全性差一些,不过都内网了其实也无所谓了吧……
就是你 A、B、C、D 四个站点都单独提供一个页面,这个页面不干别的,专门从 URL 查询字符串里接收参数、然后存到 Cookie 里(不过考虑到你这个情况直接写入 Cookie 的话还需要后端配合做 P3P,如果没有的话可以考虑先写入到 LocalStorage 里,等到真正访问对应站点的时候再取出来写入 Cookie)。
具体流程举个例子(简化流程就当只有两个站点了):
站点 A 登录,登录成功后内嵌 iframe,指向站点 B 的
set-cookie.html?key1=val1&key2=val2&key3=val3(后面拼的参数就是 Cookie)。站点 B 的
set-cookie.html页面里就一段 JS 代码,从 URL 查询字符串里取参数,先存到站点 B 自己的 LocalStorage 里。等到真正访问站点 B 的时(非 iframe),先判断自己的 LocalStorage 里有没有要处理的数据。如果有,取出并写入 Cookie 后、再删掉 LocalStorage 里的数据(防止多次重复处理)。此时 Cookie 已经在站点 A、B 中都存在了。
如果有 P3P,步骤 2 里站点 B 直接就可以写入 Cookie 了。
这个方案最大的缺点就是 Cookie 不能实时共享……
自行百度
P3P 跨域。所以引入了 LocalStorage。