CN103856493B - 跨域登录系统及方法 - Google Patents
跨域登录系统及方法 Download PDFInfo
- Publication number
- CN103856493B CN103856493B CN201210495673.XA CN201210495673A CN103856493B CN 103856493 B CN103856493 B CN 103856493B CN 201210495673 A CN201210495673 A CN 201210495673A CN 103856493 B CN103856493 B CN 103856493B
- Authority
- CN
- China
- Prior art keywords
- domain
- login
- message
- window
- log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种跨域登录系统及方法,方法包括以下步骤:S1、在接收到访问请求后,在第一域的主页面中显示登录按钮;S2、在接收到点击按钮的操作后,在主页面中创建iframe窗口并将src属性设置为第二域的登录页面地址;S3、显示第二域的登录框,登录框包括表单域及确认按钮;S4、在接到点击确认按钮的操作后,将登录信息以POST方式发送至第二域的域名服务器;S5、判断登录信息是否正确,若正确,执行步骤S6,若不正确,返回步骤S3;S6、关闭登录框并在iframe窗口中提示登录成功的消息。本发明能够采用POST方式传送数据并采用iframe窗口方式来进行跨域数据交互,保证了跨域登录的安全性。
Description
技术领域
本发明涉及一种跨域登录系统及方法,特别是涉及一种能够采用POST方式发送信息并采用iframe窗口方式来进行跨域数据交互以实现跨域登录的跨域登录系统以及一种利用该跨域登录系统实现的跨域登录方法。
背景技术
在WEB(互联网)网站应用中,由于资源分布不同或公司内部系统多样化,存在不同域下的程序互相访问的情况,而WEB浏览器从设计上为了安全,默认都是不允许跨域请求的。
而当前技术中都是采用JSONP(JavaScript Object Notation with Padding,一种轻量级的数据交换格式,可以让网页从别的网域得到资料,以实现跨域数据交互)方式来进行跨域请求,该请求方式绕过了WEB浏览器的安全限制,利用WEB浏览器能动态加载跨域脚本的特性,可动态跨域交互数据。但是,这种技术只能采用GET方式(HTTP协议即超文本传送协议下的一种与服务器交互的方式)发送请求,而在采用这种方式进行跨域登录时,对于登录涉及到的重要信息如用户名密码等都会显示在地址栏上,因此很容易被暴露。所以,采用传统的JSONP方式来进行跨域请求会非常的不安全,经常会因为信息泄露等给用户造成不必要的麻烦和损失。
发明内容
本发明要解决的技术问题是为了克服现有技术中采用JSONP技术进行跨域请求会暴露用户的重要信息导致非常不安全的缺陷,提供一种能够采用POST方式(HTTP协议即超文本传送协议下的一种与服务器交互的方式)发送信息并采用iframe窗口(浮动窗口)方式来进行跨域数据交互以实现跨域登录的跨域登录系统以及一种利用该跨域登录系统实现的跨域登录方法。
本发明是通过下述技术方案来解决上述技术问题的:
本发明提供了一种跨域登录方法,其特点在于,其包括以下步骤:
S1、在接收到一访问一第一域的请求后,在该第一域的主页面中显示一登录按钮;
S2、在接收到一点击该登录按钮的操作后,在该第一域的主页面中创建一iframe窗口并将该iframe窗口的src属性(规定了在iframe中显示的文档的URL,即网页地址)设置为一第二域的登录页面地址;
S3、在该iframe窗口中显示该第二域的登录框,其中,该登录框包括一表单域以及一确认按钮,该表单域用于输入登录信息;
S4、在接收到一点击该确认按钮的操作后,将在该表单域中输入的登录信息以POST方式发送至该第二域的域名服务器;
S5、该第二域的域名服务器判断该登录信息是否正确,若正确,则执行步骤S6,若不正确,则返回步骤S3;
S6、将该iframe窗口的window.location属性(表征整个URL字符串,在网页浏览器中就是完整的地址栏)设置为该第一域的域名地址,该第一域的域名服务器接收判断结果,关闭该登录框并在该iframe窗口中提示登录成功的消息。
较佳地,步骤S3中该登录信息包括用户名和密码,该表单域包括一用于输入用户名的第一输入框以及一用于输入密码的第二输入框。
本发明的目的在于还提供了一种跨域登录系统,其特点在于,其包括一网页浏览器、一第一域的域名服务器以及一第二域的域名服务器;
该第一域的域名服务器用于在接收到该网页浏览器发出的一访问该第一域的请求后在该第一域的主页面中显示一登录按钮,还用于在接收到点击该登录按钮的操作后,调用该网页浏览器在该第一域的主页面中创建一iframe窗口并将该iframe窗口的src属性设置为该第二域的登录页面地址同时在该iframe窗口中显示该第二域的登录框,其中,该登录框包括一表单域以及一确认按钮,该表单域用于输入登录信息;
该网页浏览器还用于在接收到一点击该确认按钮的操作后,将在该表单域中输入的登录信息以POST方式发送至该第二域的域名服务器;
该第二域的域名服务器用于判断该登录信息是否正确,若是,则调用该网页浏览器将该iframe窗口的window.location属性设置为该第一域的域名地址,该第一域的域名服务器接收判断结果,关闭该登录框并在该iframe窗口中提示登录成功的消息;若否,则调用该网页浏览器重新显示该第二域的登录框。
在用户利用该网页浏览器向该第一域的域名服务器发出访问请求后,该第一域的域名服务器就会显示该第一域的主页面并在主页面中显示一登录按钮,该登录按钮即是用来进行跨域登录的按钮。
用户点击该登录按钮后,该网页浏览器会在该第一域的主页面中创建一iframe窗口,并将其中的iframe的src属性设置为该第二域的登录页面地址,根据该第二域的登录页面地址就能够返回该第二域的登录框并且将登录框显示在该iframe窗口中,该登录框包括一表单域以及一确认按钮,该表单域用于输入登录信息。
而当用户在该表单域中输入登录信息(包括用户名、密码)并且点击该确认按钮后,该网页浏览器就将该登录信息以POST方式发送至该第二域的域名服务器。通过采用POST方式进行数据发送,而POST方式是通过http(超文本传送协议)的POST机制,将表单内的各个字段与其内容放置在HTML HEADER标签(定义文档的页眉的标签)内一起传送到ACTION属性(用于当提交表单时获取或设置窗体提交到的URL地址,以表明向何处发送表单数据)所指的URL地址,而整个的过程都是用户不可见的,因此采用POST方式就避免了重要数据被泄露,保证了跨域登录的安全性。
该第二域的域名服务器在判断出该登录信息是正确的时候,则调用该网页浏览器将该iframe窗口的window.location属性设置为该第一域的域名地址,这样就能够保证在该第一域的主页面中,该iframe窗口外部的域与该ifame窗口中的域保持相同,均为该第一域,从而在相同的域的情况下,该iframe窗口中的页面就能够直接操作该iframe窗口外部的界面。
较佳地,该登录信息包括用户名和密码,该表单域包括一用于输入用户名的第一输入框以及一用于输入密码的第二输入框。
本发明的积极进步效果在于:本发明能够采用POST方式传送数据并采用iframe窗口方式来进行跨域数据交互,避免了用户的重要信息在跨域数据交互时被泄露的危险,保证了跨域登录的安全性。
附图说明
图1为本发明的一较佳实施例的跨域登录系统的结构图。
图2为本发明的一较佳实施例的跨域登录方法的流程图。
具体实施方式
下面结合附图给出本发明较佳实施例,以详细说明本发明的技术方案。
如图1所示,本发明的跨域登录系统包括一网页浏览器1、一第一域的域名服务器2以及一第二域的域名服务器3。
在本发明的跨域登录的具体实施过程中,该第一域的域名地址为http://localhost,而该第二域的域名地址则为http://127.0.0.1,本发明能够实现该第一域与该第二域之间的跨域数据交互并能够在该第一域中实现该第二域的登录。
首先,用户能够利用该网页浏览器1向该第一域的域名服务器2发出访问请求,具体即用户在该网页浏览器1中输入http://localhost/login.html后回车,该第一域的域名服务器2在接收到访问请求后就会返回该第一域的主页面,同时在主页面中设置并显示一登录按钮,该登录按钮即是用来进行跨域登录的按钮。
用户点击该登录按钮后,该网页浏览器1会在该第一域的主页面中创建一iframe窗口,并将其中的iframe窗口的src属性设置为该第二域的登录页面地址,具体的登录页面地址可以为http://127.0.0.1/loginFrame.html,该网页浏览器1就根据登录页面地址向该第二域的域名服务器3发出登录页面的请求,根据该第二域的登录页面地址就能够返回该第二域的登录框并且将登录框显示在该iframe窗口中,该登录框包括一表单域以及一确认按钮,该表单域用于输入登录信息。
在具体实现时,该表单域包括一用于输入用户名的第一输入框以及一用于输入密码的第二输入框,这样就可以将用户的用户名和密码作为登录信息输入后以进行验证。
而当用户在该表单域中输入登录信息(包括用户名、密码)并且点击该确认按钮后,该网页浏览器1就将该登录信息以POST方式发送至该第二域的域名服务器3。通过采用POST方式进行数据发送,而POST方式是通过http的POST机制,将表单内的各个字段与其内容放置在HTML HEADER标签内一起传送到ACTION属性所指的URL地址,而整个的过程都是用户不可见的,因此采用POST方式就避免了重要数据被泄露,保证了跨域登录的安全性。
而该第二域的域名服务器3在接收到该登录信息后就会判断该登录信息是否正确,若是,则调用该网页浏览器将该iframe窗口的window.location属性设置为该第一域的域名地址,这样就能够保证在该第一域的主页面中,该iframe窗口外部的域与该iframe窗口中的域保持相同,均为该第一域,从而在相同的域的情况下,该iframe窗口中的部分就能够直接操作该iframe窗口外部的界面。此处还有一个作用是传递登录结果和动态脚本会立即执行并调用iframe外部代码,将控制权交给外部页面的javascript(一种动态、弱类型、基于原型的语言,通过浏览器可以直接执行)函数,而该登录框中的javascript对象可以操作外部主页面中的所有dom(文档对象模型)文档对象及javascript对象。
在跨域跳转页面中,可以获得登录结果及其它信息,并调用最初的主页面中的javascript函数“call_back”函数,函数“call_back”的功能是接收登录结果及其它信息,这些其它信息主要用于主页面的其它流程处理,并关闭该登录框。
接着,该第二域的域名服务器3会向该第一域的域名服务器2发送一返回跨域页面的请求,该第一域的域名服务器2还在接收到该返回跨域页面的请求后接收登录结果,关闭该登录框并在该iframe窗口中提示登录成功的消息。
而如果该第二域的域名服务器3判断出该登录信息不正确,则调用该网页浏览器1重新显示该第二域的登录框,以供用户重新输入登录信息。
如图2所示,本发明利用本实施例的跨域登录系统实现的跨域登录方法包括以下步骤:
步骤100、在接收到一访问一第一域的请求后,在该第一域的主页面中显示一登录按钮。
步骤101、在接收到一点击该登录按钮的操作后,在该第一域的主页面中创建一iframe窗口并将该iframe窗口的src属性设置为一第二域的登录页面地址。
步骤102、在该iframe窗口中显示该第二域的登录框,其中,该登录框包括一表单域以及一确认按钮,该表单域用于输入登录信息。
步骤103、在接收到一点击该确认按钮的操作后,将在该表单域中输入的登录信息以POST方式发送至该第二域的域名服务器。
步骤104、该第二域的域名服务器3判断该登录信息是否正确,若正确,则执行步骤105,若不正确,则返回步骤102。
步骤105、将该iframe窗口的window.location属性设置为该第一域的域名地址,该第一域的域名服务器2在接收到一返回跨域页面的请求后接收登录结果,关闭该登录框并在该iframe窗口中提示登录成功的消息,然后结束流程。
而在本发明的具体实施过程中,可以采用如下的利用JavaScript语言编写出的程序代码实现:
代码1:
代码2:
代码3:
代码4:
注:1、<!---->该标签为html文档注释标签
2、//为javascript代码注释符号
虽然以上描述了本发明的具体实施方式,但是本领域的技术人员应当理解,这些仅是举例说明,本发明的保护范围是由所附权利要求书限定的。本领域的技术人员在不背离本发明的原理和实质的前提下,可以对这些实施方式做出多种变更或修改,但这些变更和修改均落入本发明的保护范围。
Claims (4)
1.一种跨域登录方法,其特征在于,其包括以下步骤:
S1、在接收到一访问一第一域的请求后,在该第一域的主页面中显示一登录按钮;
S2、在接收到一点击该登录按钮的操作后,在该第一域的主页面中创建一iframe窗口并将该iframe窗口的src属性设置为一第二域的登录页面地址;
S3、在该iframe窗口中显示该第二域的登录框,其中,该登录框包括一表单域以及一确认按钮,该表单域用于输入登录信息;
S4、在接收到一点击该确认按钮的操作后,将在该表单域中输入的登录信息以POST方式发送至该第二域的域名服务器;
S5、该第二域的域名服务器判断该登录信息是否正确,若正确,则执行步骤S6,若不正确,则返回步骤S3;
S6、将该iframe窗口的window.location属性设置为该第一域的域名地址,该第一域的域名服务器接收判断结果,关闭该登录框并在该iframe窗口中提示登录成功的消息。
2.如权利要求1所述的跨域登录方法,其特征在于,步骤S3中该登录信息包括用户名和密码,该表单域包括一用于输入用户名的第一输入框以及一用于输入密码的第二输入框。
3.一种跨域登录系统,其特征在于,其包括一网页浏览器、一第一域的域名服务器以及一第二域的域名服务器;
该第一域的域名服务器用于在接收到该网页浏览器发出的一访问该第一域的请求后在该第一域的主页面中显示一登录按钮,还用于在接收到点击该登录按钮的操作后,调用该网页浏览器在该第一域的主页面中创建一iframe窗口并将该iframe窗口的src属性设置为该第二域的登录页面地址同时在该iframe窗口中显示该第二域的登录框,其中,该登录框包括一表单域以及一确认按钮,该表单域用于输入登录信息;
该网页浏览器还用于在接收到一点击该确认按钮的操作后,将在该表单域中输入的登录信息以POST方式发送至该第二域的域名服务器;
该第二域的域名服务器用于判断该登录信息是否正确,若是,则调用该网页浏览器将该iframe窗口的window.location属性设置为该第一域的域名地址,该第一域的域名服务器接收判断结果,关闭该登录框并在该iframe窗口中提示登录成功的消息;若否,则调用该网页浏览器重新显示该第二域的登录框。
4.如权利要求3所述的跨域登录系统,其特征在于,该登录信息包括用户名和密码,该表单域包括一用于输入用户名的第一输入框以及一用于输入密码的第二输入框。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210495673.XA CN103856493B (zh) | 2012-11-28 | 2012-11-28 | 跨域登录系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210495673.XA CN103856493B (zh) | 2012-11-28 | 2012-11-28 | 跨域登录系统及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103856493A CN103856493A (zh) | 2014-06-11 |
CN103856493B true CN103856493B (zh) | 2019-02-12 |
Family
ID=50863706
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210495673.XA Active CN103856493B (zh) | 2012-11-28 | 2012-11-28 | 跨域登录系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103856493B (zh) |
Families Citing this family (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105472052B (zh) * | 2014-09-03 | 2019-12-31 | 阿里巴巴集团控股有限公司 | 一种跨域服务器的登录方法和系统 |
CN105871976A (zh) * | 2015-11-24 | 2016-08-17 | 乐视体育文化产业发展(北京)有限公司 | 数据跨域请求方法、设备及系统 |
CN105897746A (zh) * | 2016-05-26 | 2016-08-24 | 深圳市金立通信设备有限公司 | 一种跨网站登录方法、终端及网站服务器 |
CN108737331B (zh) * | 2017-04-17 | 2020-08-07 | 北大方正集团有限公司 | 跨域通信方法及跨域通信系统 |
CN107666517A (zh) * | 2017-09-26 | 2018-02-06 | 北京思特奇信息技术股份有限公司 | 一种基于web入侵的跨系统业务调用方法及系统 |
CN107749858A (zh) * | 2017-11-06 | 2018-03-02 | 郑州云海信息技术有限公司 | 一种端点之间切换方法及装置 |
CN108171051A (zh) * | 2017-12-26 | 2018-06-15 | 国云科技股份有限公司 | 一种对抗xss攻击的方法 |
CN110083403A (zh) * | 2019-04-19 | 2019-08-02 | 西安航天恒星科技实业(集团)有限公司 | 在web端界面使用iframe技术实现界面插件的方法 |
CN110647736A (zh) * | 2019-08-13 | 2020-01-03 | 平安科技(深圳)有限公司 | 插件式坐席系统登录方法、装置、计算机设备及存储介质 |
CN111027042A (zh) * | 2019-12-03 | 2020-04-17 | 武汉极意网络科技有限公司 | 一种行为验证码的校验方法、装置和存储介质 |
CN112543194B (zh) * | 2020-12-03 | 2023-03-24 | 武汉联影医疗科技有限公司 | 移动终端登录方法、装置、计算机设备和存储介质 |
CN113329028B (zh) * | 2021-06-17 | 2022-08-30 | 中国农业银行股份有限公司 | 跨域访问方法及设备 |
CN113761509B (zh) * | 2021-09-18 | 2024-01-19 | 中国银行股份有限公司 | iframe验证登录方法及装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101674285A (zh) * | 2008-09-08 | 2010-03-17 | 中兴通讯股份有限公司 | 一种单点登录系统及其方法 |
CN102043832A (zh) * | 2010-11-23 | 2011-05-04 | 苏州阔地网络科技有限公司 | 一种网页上实现跨域请求回调的方法 |
CN102404392A (zh) * | 2011-11-10 | 2012-04-04 | 山东浪潮齐鲁软件产业股份有限公司 | 一种Web应用或网站集成登录的方法 |
CN102571762A (zh) * | 2011-12-21 | 2012-07-11 | 深信服网络科技(深圳)有限公司 | 单点登录的方法和设备 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120110469A1 (en) * | 2010-11-01 | 2012-05-03 | Gregory Magarshak | Systems and Methods for Cross Domain Personalization |
-
2012
- 2012-11-28 CN CN201210495673.XA patent/CN103856493B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101674285A (zh) * | 2008-09-08 | 2010-03-17 | 中兴通讯股份有限公司 | 一种单点登录系统及其方法 |
CN102043832A (zh) * | 2010-11-23 | 2011-05-04 | 苏州阔地网络科技有限公司 | 一种网页上实现跨域请求回调的方法 |
CN102404392A (zh) * | 2011-11-10 | 2012-04-04 | 山东浪潮齐鲁软件产业股份有限公司 | 一种Web应用或网站集成登录的方法 |
CN102571762A (zh) * | 2011-12-21 | 2012-07-11 | 深信服网络科技(深圳)有限公司 | 单点登录的方法和设备 |
Also Published As
Publication number | Publication date |
---|---|
CN103856493A (zh) | 2014-06-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103856493B (zh) | 跨域登录系统及方法 | |
US8745712B2 (en) | Dynamically providing algorithm-based password/challenge authentication | |
Wang et al. | Explicating {SDKs}: uncovering assumptions underlying secure authentication and authorization | |
US10686602B2 (en) | Portable device interface methods and systems | |
US8898796B2 (en) | Managing network data | |
JP6494610B2 (ja) | コードの仮想化およびリモートプロセスコール生成のための方法および装置 | |
US9584504B2 (en) | Auto login method and device | |
US9026902B2 (en) | Handling unexpected responses to script executing in client-side application | |
CN104391786B (zh) | 网页自动化测试系统及其方法 | |
CN101872365A (zh) | 一种在网页上实现的一键登录到其他网站的方法 | |
US20170093828A1 (en) | System and method for detecting whether automatic login to a website has succeeded | |
CN109672658B (zh) | Json劫持漏洞的检测方法、装置、设备及存储介质 | |
US20210397682A1 (en) | Secure Service Interaction | |
US9971636B2 (en) | Methods for implementing web services and devices thereof | |
Chaudhry et al. | 2015 Interpretation and Application of International Financial Reporting Standards | |
US20130055070A1 (en) | Method of generating web pages using server-side javascript | |
CN107995153A (zh) | 表单数据验证方法及表单数据验证装置 | |
US11755830B2 (en) | Utilizing natural language processing to automatically perform multi-factor authentication | |
TW201547247A (zh) | 網頁認證方法與系統 | |
CN103139178B (zh) | 互联网开放平台数据请求接口的验证方法和装置 | |
US9219742B2 (en) | Transforming user-input data in scripting language | |
US20170091163A1 (en) | Crowd-source as a backup to asynchronous identification of a type of form and relevant fields in a credential-seeking web page | |
CN110188259A (zh) | 一种可配置化的数据抓取方法和装置 | |
CN115643054A (zh) | 身份信息验证方法、装置、服务器、介质及产品 | |
CN103413092A (zh) | 一种网络终端禁止恶意代码注入的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C41 | Transfer of patent application or patent right or utility model | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20160914 Address after: East Building 11, 100195 Beijing city Haidian District xingshikou Road No. 65 west Shan creative garden district 1-4 four layer of 1-4 layer Applicant after: Beijing Jingdong Shangke Information Technology Co., Ltd. Address before: 201203 Shanghai city Pudong New Area Zu Road No. 295 Room 102 Applicant before: Niuhai Information Technology (Shanghai) Co., Ltd. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |