• 13
  • 14
分享
  • 提高页面集成效率,了解iframe页面嵌入使用
  • 曼倩诙谐 2022-03-14 10:42:28 字数 4229 阅读 1763 收藏 14

  前言

  在跨域请求不同服务方或是兼容先前系统的页面时,你可能想利用AJAX从网页上下载HTML并粘贴到div中,这将带来不安全注入的问题。

  此时,通过iframe页面嵌入可以很好地解决上述问题。

  本文带您了解iframe内联框架,帮助您提高页面集成效率和复用率,一次开发,多次使用。同时,解决在使用iframe跨域访问时,第三方cookie暂存转发问题。

  iframe安全嵌入方案

  iframe嵌入是一种快速的表示集成方法,具有以下三方面优点:

  1.iframe是一个全新的独立的宿主环境,用于隔离或者访问原始接口及对象,并能够原封不动地将嵌入的网页展现出来;

  2.如果有多个网页引用iframe,只需要修改iframe的内容,就可以实现调用的每一个页面内容的更改,方便快捷;

  3.重载页面时不需要重载整个页面,只需要重载页面中的一个框架页。

  例如,以vue工程为例,我们可以很轻松地嵌入iframe页面,轻松实现页面集成。

<template>
  <div style="padding-top:10px;height:auto">
    <iframe id='mainFrame' name='mainFrame' ref='mainFrame' :src="iframeUrl" target="_blank" height='1000px' frameborder="0" width="100%" ></iframe>
  </div>
</template>
<script>
export default {
  name: 'MyTestResource',
  data() {
    return{
      iframeUrl: "",
    }
  },
  created(){
    this.iframeUrl = http://40. + "xxx-ev/ev/xxx/RedirectITA?toUrl=zycx&resouceCode=BBB&token=" + getLocalStorageToken()
  },

  在嵌入第三方服务页面时,需要处理统一身份认证和保持登录状态的问题,下图所示为iframe安全注入方案示例。

1-1.png

  iframe安全注入服务流程为,用户在本方服务页面进行登录,本方服务向统一身份认证平台验证用户服务权限并得到本方服务令牌。

  当用户访问嵌入第三方服务的iframe页面时,本方服务向统一身份认证平台验证用户服务权限并得到第三方服务令牌,通过URL传送给第三方服务,第三方服务解析后向统一身份认证平台验证该用户权限令牌信息,若用户权限令牌信息正确则提供服务。

  其中第三方服务对iframe 嵌入可以通过如下配置方式实现。

  IE浏览器配置

  为了控制iframe嵌入的权限,需要在Headers里面加入X-Frame-Options字段,其有三种值可以配置,具体如下表格所示。

1-2.png

  Chrome、Edge浏览器配置

  经过测试发现X-Frame-Options 对Chrome及Edge浏览器不起作用,需要配置Content-Security-Policy: frame-ancestors 对iframe 页面嵌入进行安全控制。

1-3.png

  X-Frame-Options及 Content-Security-Policy 可以同时配置多个白名单,具体如下:

  Content-Security-Policy:

  frame-ancestors http://aaa.com http://bbb.com http://ccc.com

  X-Frame-Options:

  ALLOW-FROM http://aaa.com,http://bbb.com,http://ccc.com

  对于Nginx、apache 、IIS、tomcat 等不同的中间件有不同的配置方法,再次不再赘述,读者可以根据需要的场景进行不同配置。

  浏览器访问iframe问题

  我们在访问iframe 嵌入页面的时候,从本系统前端调用系统后台服务后,sendRedirect到第三方系统后台服务,对X-Frame-Options头进行了验证后,正常应该跳转到请求页面并对本系统浏览器进行内容响应。

  实际使用过程中却发生了奇怪的现象,第三方服务验证X-Frame-Options跨站验证后,302 跳转到了请求页面,又302 调用了登出接口,截止302 调用了登录接口,最终为用户响应了登录页面,如下图所示。

1-4.png

1-5.png

  猜测一下,问题可能出在以下几个方面:

  1.第三方服务调用统一安全认证服务失败,跳转登录页面,但是并没有安全认证失败的响应信息;

  2.第三方服务没有用户信息,跳转登录页面;

  3.第三方请求跳转页面时,对用户信息进行了基于浏览器信息的再次认证,失败并跳转登录页面。

  经过验证更换其他浏览器后,页面可以正常访问,说明统一安全认证无问题,且用户信息也验证正常,因此问题应该是第三种情况。

  浏览器访问iframe解决方案

  经过分析发现,Chrome内核51版本开始,其对于Cookie的控制新增加了一个SameSite属性,用来防止CSRF攻击和用户追踪。

  由第三方提供iframe嵌入页面服务的Cookie在Chrome内核被认为是第三方Cookie,浏览器默认会禁止第三方Cookie跨域传送,这里就涉及到浏览器Cookie 的SameSite属性。

  SameSite 可以有下面三种值:

  1.Strict仅允许一方请求携带 Cookie,即浏览器将只发送相同站点请求的 Cookie,即当前网页 URL 与请求目标 URL 完全一致;

  2.Lax允许部分第三方请求携带 Cookie;

  3.None无论是否跨站都会发送 Cookie。

  通过下面表格,我们可以清晰看到,不同请求类型下,SameSit属性对第三方Cookie 的响应方式。

1-6.png

  从上表可以看出,对大部分 web 应用而言,Post 表单、iframe、AJAX这三种情况从以前的跨站会发送三方Cookie,变成了不发送。

  故这三种情况跨站给第三方发送Cookie需要在设置的时候将SameSite设置为None。

  通过研究,我们发现可以通过配置Chrome 、Edge浏览器SameSite 属性可以有效解决该问题。

  低于91版本的Chrome浏览器

  Chrome中访问地址chrome://flags/ 搜索samesite 将same-site-by-default-cookies,和SameSite by default cookies这两项设置为Disabled后重启浏览器再运行项目即可解决。该设置默认情况下会将未指定SameSite属性的请求看做SameSite=Lax来处理。

1-7.png

  Chrome及Edge浏览器

  打开浏览器快捷方式的属性,在目标后添加

  --disable-features=SameSiteByDefaultCookies,CookiesWithoutSameSiteMustBeSecure ,点击应用、确定按钮,重启浏览器后生效。

  "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe"

  通过执行脚本直接生成有效的快捷方式

chcp 65001
echo 正在创建桌面快捷方式,请勿关闭本窗口.
::设置程序或文件的完整路径(必选)
set Program=%cd%\chrome.exe
::设置快捷方式名称(必选)
set LnkName=SSSChrome
::设置程序的工作路径,一般为程序主目录,此项若留空,脚本将自行分析路径
set WorkDir=%cd%
::设置快捷方式显示的说明(可选)
set Desc=SSSChrome
if not defined WorkDir call:GetWorkDir "%Program%"
(echo Set WshShell=CreateObject("WScript.Shell"^)
echo strDesKtop=WshShell.SpecialFolders("DesKtop"^)
echo Set oShellLink=WshShell.CreateShortcut(strDesKtop^&"\%LnkName%.lnk"^)
echo oShellLink.TargetPath="%Program%"
echo oShellLink.Arguments="--disable-features=SameSiteByDefaultCookies,CookiesWithoutSameSiteMustBeSecure"
echo oShellLink.WorkingDirectory="%WorkDir%"
echo oShellLink.WindowStyle=1
echo oShellLink.Description="%Desc%"
echo oShellLink.Save)>makelnk.vbs
echo 桌面快捷方式创建成功!
makelnk.vbs
del /f /q makelnk.vbs
exit
goto :eof
:GetWorkDir
set WorkDir=%~dp1
set WorkDir=%WorkDir:~,-1%
goto :eof


  从下图我们可以看到,响应请求,由原来的4个302 后跳转到登录页面变为2个302 跳转后正常进入功能页面,解决了请求第三方iframe时不发送Cookie 造成第三方服务认证通过跳转登录页面的问题。

1-8.png

  总结

  本文介绍了iframe内联框架,帮助您安全地嵌入iframe页面并提高页面集成效率和复用率,达到代码的高复用和良好的用户体验。

  请求第三方iframe时,能够对iframe进行请求头验证及统一安全验证,实现iframe页面安全嵌入。针对浏览器访问第三方iframe时存在的第三方Cookie 不能正常发送问题,提供了可行的解决方案,可以为页面嵌入使用方面提供有效的借鉴。



作者:郭朝兴 张继中   

来源:http://www.51testing.com/html/04/n-4481504.html

  • 【留下美好印记】
    赞赏支持
登录 后发表评论
+ 关注

热门文章

    最新讲堂

      • 推荐阅读
      • 换一换
          • 计划:属于组织管理层面的文档,从组织管理的角度对测试活动进行规划; 方案:属于技术层面的文档,从技术的角度对测试活动进行规划。  测试计划: 对测试全过程的组织、资源、原则等进行规定和约束,并制定测试全过程各个阶段的任务分配以及时间进度安排,并提出对各项任务的评估,风险分析和管理需求。  测试方案: 描述需要测试的特性,测试的方法,测试环境的规划,测试工具的设计和选择,测试用例的设计方法,测试代码的设计方案。 测试方案需要在测试计划的指导下进行,测试计划提出“做什么”,而测试方案明确“如何做”  软件测试...
            0 0 820
            分享
          •   当谈到Web端自动化测试时,首先想到的是什么?毋庸置疑是Selenium。毫不夸张地说,Selenium引领着界面测试自动化领域。使用过Selenium的人都了解,当一个元素嵌套在多层Frame中时,需从主页面一层一层切到元素所在的Frame,才能查找到该元素。而一般的录制工具在采集元素的定位信息时,只能采集到它的父级Frame,甚至采集不到Frame信息。如果让测试人员手动从源码中寻找所有父级Frame信息,可能他以后再也不想做界面自动化测试了。  假设元素只有自身的定位信息,如何准确找到该元素?笔者反复思考、查找资料,使用递归遍历算法解决了此问题。下面带您一步一步解析。  Frame标...
            13 13 2279
            分享
          • 1 引言1.1 编写目的编写该测试总结报告主要有以下几个目的:通过对测试结果的分析,得到对软件质量的评价;分析测试的过程,产品,资源,信息,为以后制定测试计划提供参考;评估测试测试执行和测试计划是否符合;分析系统存在的缺陷,为修复和预防bug提供建议。1.2 背景1.3 用户群主要读者:XX项目管理人员,XX项目测试经理其他读者:XX项目相关人员。1.4 定义严重bug:出现以下缺陷,测试定义为严重bugü 系统无响应,处于死机状态,需要其他人工修复系统才可复原;ü 点击某个菜单后出现“The page cannot be displayed”或者返回异常错误;ü 进行某个操作(增加、修改、删...
            11 11 2520
            分享
          • 2) 集成测试集成测试是一种软件测试,其中应用程序的两个或多个模块在逻辑上组合在一起并作为一个整体进行测试。这类测试的重点是发现模块之间的接口、通信和数据流方面的缺陷。在将模块集成到整个系统中时使用自上而下或自下而上的方法。这种类型的测试是在集成系统的模块或系统之间进行的。例如,用户正在从任何航空公司网站购买机票。用户在购买机票时可以查看航班详情和支付信息,但航班详情和支付处理是两个不同的系统。在集成航空公司网站和支付处理系统的同时进行集成测试。a) 灰盒测试顾名思义,灰盒测试是白盒测试和黑盒测试的结合。测试人员对应用程序的内部结构或代码有部分了解。3) 系统测试系统测试是测试人员根据指定要求...
            0 0 1914
            分享
          • 1、我想问一下关于自动化测试工具Selenium和QTP的区别。假如一个系统现在需要一款自动化测试工具,要求可以重复提交表单进行功能性测试,不用纯手工去做(因为工作量过大),现在有两个工具(Selenium和QTP),哪个比较适合?这个要看情况:1、你们公司是不是土豪,可以买qtp,可以买就用qtp。不能买,敢不敢用盗版?敢用,就用qtp。2、页面元素的识别麻烦不?如果qtp搞不定,就只有努力学习,提升自己的编码能力,使用selenium去操控底层的页面元素来实现。如果页面元素不麻烦,想偷懒,请参考第一条。2、目前很多项目自动化最多就是跑冒烟测试,所以更大的意义在哪里呢?求解冒烟测试也是很有意...
            0 2 3435
            分享
      • 51testing软件测试圈微信