这里有很多问题,有人想在iframe中加载OpenID提供程序的登录页面,而不是重定向并让提供程序控制登录页面的整个外观.出于非常可靠的安全原因(主要是反网络钓鱼),这是一个很大的禁忌,禁止,大多数OpenID提供商都拒绝在iframe中加载.
我遇到过一种情况,即在一个组织的网站和应用程序中使用OpenID.OpenID提供商具有RP的白名单,并且仅响应这些RP.期望基于哪个RP将用户发送给它来在提供者处广泛地定制登录页面.(如果有强烈的安全论据反对这样做,我也想了解它们.)
建议的解决方案是简单地允许RP在iframe中显示登录页面,这样他们就可以在他们想要的登录框周围放置任何设计.在这种情况下,只有"用户名""密码"字段和"登录""忘记密码""注册新帐户"按钮将在提供商处托管,页面的其余部分将在RP处,并且仍然具有RP的地址标题栏.不是最佳,是的,但争论的焦点是"它是一个不同的子域,但是同一个二级域,所以它仍然没问题."
我不明白这是怎么回事 - 对不同的应用程序使用非常不同的登录页面仍然会让用户更容易受到网络钓鱼和其他攻击.我在这个结论中不正确吗?关于此问题的每一个问题似乎都是关于使用外部或公共提供者,而我遇到的反驳是这些问题不适用于仅限于同一域名的网站的私有提供商.
在Meebo的聊天栏是一个小的,不显眼的酒吧(不包括一些可选的弹出一些网站把其内部的-基棒是相当不显眼但)那支视口的底部,并添加到页面上只有少数JavaScript行.具体来说,我感兴趣的是他们如何设法让"视口底部"定位工作得如此好,一致,并且没有闪烁或其他工件跨浏览器.
请注意,即使在IE中,Meebo解决方案也不需要在页面上使用特定的DOCTYPE,因此无论它是什么,它都可以在IE Quirks模式下正常运行.这是关键 - 我要问的是,除了添加标签或插入标签的代码之外,如果无法控制托管页面,如何使视口底部工具栏工作.单独修复CSS不是一个可接受的解决方案,因为它在IE Quirks模式下无法正常工作.
另外,虽然我提到Meebo吧作为一个例子,但我实际上并不是在寻找社交工具栏,所以我不能只使用Meebo.
所需的浏览器支持 - 请注意,Meebo支持所有这些:IE6,IE7 +,Firefox,Safari,Chrome.完全没有显示(但根本没有打破页面)对IE6来说是可以接受的,尽管偏好当然是为了(像Meebo)在IE6中正常工作.像Opera这样的其他浏览器也很不错,但我需要的浏览器列表就在上面.