Sto effettuando ricerche sul flusso di autenticazione nel caso in cui vengano utilizzati cookie di terze parti per l'autenticazione su un sito Web e vengano bloccati dalle impostazioni di policy, proxy o browser.
È chiaro che CORS e vari plug-in fallirebbero nel caso in cui fossero disabilitati.
Ho visto sviluppatori fare alcune cose "creative" per aggirare questa limitazione ...
Domanda
-
Quali sono i workaround e le minacce che espone ciascuna soluzione alternativa?
-
Qual è l'approccio più affidabile? (come fa * .StackExchange?)
per es.
- IFrame + cookie di terze parti bloccati
- Uso di cookie invisibili (ad esempio Evercookie / ETags / etc)
- Intestazioni di riferimento
- Solo cookie SSL / HTTP
- Una conversazione backchannel tra i due host. (Attendibile)