我正在寻找一些关于安全的意见。我们希望合作伙伴在他们自己的域上托管我们的 SPA,这样他们只需要进行一次初始 API 调用,然后他们的用户就可以使用嵌入式 SPA 来完成一些表格。显然,这对我们的合作伙伴来说是最小的设置,并且对我们来说是可扩展的。它看起来像这样:
我们会用 Vanilla JS 编写 SPA,以便它可以在任何合作伙伴页面上运行,但问题是 SPA 与我们后端的通信。我们可以编译针对每个用户的 JS(即唯一端点、一次性令牌、cookie),并在每次请求/响应时刷新/重置它们。但明显的问题是安全性和 XSS 盗窃和使用。
在这里做了一些研究,特别是在这篇文章中提出和评论的问题,我正在寻找一个建议来最小化这个特定用例中的 XSS。架构要求很重要,因为我们的合作伙伴几乎什么都不用做,但显然这会引起关注。非常欢迎任何建议。