我必须以安全的方式将身份验证令牌从我的网站传递给我的iframe.我的iframe与我的网站位于同一个域中.

将auth令牌作为参数传递给iframe的src属性是否安全？我的意思是：

<iframe src={"/purse/index.html?auth_token=" + token} />

更新：安全我的意思是除了当前(已登录)用户之外没有人有机会访问令牌.

附：在你的回答中,还描述了使用我的方法可以窃取auth_token的方式

最佳答案 从技术上讲,auth_token不提供安全性,它提供身份.安全性将由您的加密和身份验证系统提供,通常是SSL,具有某种形式的登录. auth_token通常在身份验证后设置,并通过SSL加密连接传递回用户.根据提供的代码段中的’src’,它似乎是相同的应用程序空间 – 没有主机信息会提示不同的主机.如果仍然使用SSL来加密连接,那么其他任何人都不应该“看到”用户auth_token.