Здесь есть множество вопросов, где кто-то хочет загрузить страницу входа провайдера OpenID в iframe, а не перенаправлять и заставить провайдера контролировать весь внешний вид страницы входа. По очень веским причинам безопасности (в первую очередь, для борьбы с фишингом) этот запрет запрещен, и большинство провайдеров OpenID отказываются загружаться в пределах iframe.
Мне представилась ситуация, когда OpenID используется в наборе веб-сайтов и приложений одной организации. Поставщик OpenID имеет белый список RP и будет отвечать только на эти RP. Есть желание экстенсивно настроить страницу входа в систему у провайдера, в зависимости от того, какой RP отправил на него пользователя. (Если есть веские аргументы безопасности против этого, я бы тоже хотел узнать о них.)
Предложенное решение для этого состоит в том, чтобы просто позволить RP представить страницу входа в систему в iframe, чтобы они могли разместить любой дизайн вокруг поля входа в систему, которое они хотят. В этом сценарии только у провайдера будут размещены только поля «Имя пользователя», «Пароль» и «Логин», «Забыли пароль», «Зарегистрировать новую учетную запись», остальная часть страницы будет находиться на RP, и при этом адрес RP будет оставаться в строка заголовка. Да, не оптимально, но аргумент в том, что «это другой поддомен, но тот же домен 2-го уровня, так что все в порядке».
Я не понимаю, как это могло быть - наличие разных страниц входа в систему для разных приложений по-прежнему делает пользователей более уязвимыми для фишинга и других атак. Я не прав в этом заключении? Каждый вопрос SO по этому поводу, похоже, касается использования внешнего или общедоступного провайдера, и встречный контраргумент, с которым я сталкиваюсь, заключается в том, что эти проблемы не относятся к частному провайдеру, ограниченному сайтами в одном домене.