Estoy investigando el flujo de autenticación en el caso de que las cookies de terceros se utilicen para autenticar un sitio web y estén bloqueadas por la política, el proxy o la configuración del navegador.
Está claro que CORS y varios complementos fallarían en caso de que estos estuvieran deshabilitados.
He visto a los desarrolladores hacer algunas cosas "creativas" para solucionar esta limitación ...
Pregunta
-
¿Cuáles son las soluciones y amenazas que expone cada solución?
-
¿Cuál es el enfoque más confiable? (¿Cómo lo hace * .StackExchange?)
Por ejemplo,
- IFrames + cookies de terceros bloqueadas
- Uso de cookies ocultas (por ejemplo, Evercookie / ETags / etc)
- Encabezados de referencia
- cookies solo SSL / HTTP
- Una conversación de fondo entre los dos hosts. (de confianza)