我正在为我们的网络服务实施Google+登录,并偶然发现了"授权的JavaScript来源"。我们的客户将网址作为我们主域的子域,或作为自定义域名。由于登录页面位于该子域(或自定义域)下,并且为了使Google+唱歌按钮工作,应该(在#34;授权的JavaScript中)(手动)输入该自定义域/子域起源"列表(包含http和https)。
有没有人知道一种自动执行此操作的方法(可能通过某些API)? 如果没有,那你怎么做?
答案 0 :(得分:8)
不确定是否有API。乍一看,我没有看到一个。替代方案(除了一直手动添加域名)是在每个网站上使用隐藏的iframe - 这个iframe将来自您的域,并且将是唯一调用Google服务的内容。主要网站将与iframe(postMessage)进行通信,告诉它要发送什么谷歌。这当然会带来安全风险(任何人都可以将你的iframe加载到他们的页面并代表你做坏事)所以你要确保iframe代码拒绝做任何事情,除非它在一个页面上运行已知良好的域名。
答案 1 :(得分:2)
在尝试使用Google登录时,您还可以拥有所有子域指向的公共网址。然后将此网址重定向到您的实际Google登录路径。节拍必须以这种方式处理iframe。