我想用“https://webchat.botframework.com/embed/QuizHS?s=YOUR_SECRET_HERE”将它与Web应用程序集成。 但是,我希望通过将令牌传递给它来保护会话,因为密钥在查询字符串中,所以没有人可以直接复制上面的链接并将其用于任何其他应用程序,因为此数据包含机密数据。如何保护我的Microsoft博特框架iframe的网上聊天网址
0
A
回答
0
这是由丹·德里斯科尔这里广泛回答:https://github.com/Microsoft/BotFramework-WebChat/issues/428
为了这个讨论的目的,我们要处理秘密和 令牌是一样的。如果您想要 ,我们可以稍后详细介绍。我现在将它们称为“秘密/标记”。
要访问的谈话,你需要秘密/令牌和对话 ID。这些值有时会粘在一起,有时会分开变量。有时他们在URL中,有时他们被存储在JavaScript中的内存中。这些与存储在用户的Cookie中的用户令牌类似。
在所有情况下,这些值都坐在自己 自己的计算机的用户访问。他们可以阅读他们自己的URL,他们可以阅读他们自己的 JavaScript变量状态,并且他们可以读取他们自己的cookie。
如果他们发送任何信息给别人,那个人可以 模仿他们。如果我的银行通过电子邮件将密码重置链接发送给我,并且我与其他人共享该密码,那么此人可以重置我的帐户 密码并登录到我的帐户。
我们的iFrame使用URL来传递这些参数,因为这是在许多情况下,适当的 级别的安全性。 (你曾经访问过的网站, 人工提取的URL的iframe,把它交给别人,并 期待您的会话保持私有吗?也许不是。)
如果你想额外的安全性,你可以跳过iFrame并在JS或cookie中发送您自己的秘密/令牌。你的JS可以解压并将其发送到Web Chat JS对象。一旦Web Chat具有秘密/令牌, 专门使用HTTP授权标头将这些值发送到Direct Line服务的 。
相关问题
- 1. ERROR 500博特框架Microsoft
- 2. 如何保护我的网站中的网址/目录?
- 3. 网站上的Facebook聊天
- 4. 启用使用Microsoft博特框架
- 5. 如何保护与HTTP authetication特定的网址?
- 6. 如何更改“父”框架的网址?
- 7. 如何保护亚马逊S3网址
- 8. 如何在我的WordPress博客上配置漂亮的网址?
- 9. 如何在我的网站上实现Facebook聊天?
- 10. 如何在Gmail等我的网站上进行视频聊天?
- 11. 创建一个P2P Android聊天,用于网络的框架?
- 12. 保护我的网站上的视频?
- 13. 保护jnlp下载网址?
- 14. 如何保护我的网站
- 15. 如何通过htaccess保护特定网址
- 16. 春天不拒绝受保护的网址访问
- 17. 在我的网站中嵌入聊天
- 18. 网站上的视频聊天
- 19. Facebook的公共聊天网站上
- 20. 网站框架内的网站? (iframe讨厌我)
- 21. 保护我的网站
- 22. 如何保护我的网址,同时将其传递到AWS API网关
- 23. 群聊聊天圈像网络聊天像Facebook群聊天UI
- 24. 如何从外部网址响应我的网站制作iframe?
- 25. 我如何隐藏iframe中网站的网址?
- 26. 如何刷新iframe网址?
- 27. 如何隐藏在Yii框架从我的网址的index.php
- 28. 我如何为我的网站进行实时视频聊天
- 29. 保护Magento中的其他网址
- 30. 密码保护在Nginx中的网址
如果您可以通过Web应用程序进行服务器调用,则可以通过向“https://webchat.botframework.com/api/tokens”发出GET请求来请求令牌,并将您的Web聊天秘密授权标题。然后你可以在你的网络聊天网址的查询字符串中使用“t =”而不是“s =”并传递获得的令牌。请参阅https://docs.botframework.com/en-us/support/embed-chat-control2/#option-1---keep-your-secret-hidden-exchange-your-secret-for-a-token-并生成嵌入以获取更多细节。 – raj
使用[链接](https://docs.botframework.com/en-us/support/embed-chat-control2/),我能够生成令牌,但我需要再次发送此令牌作为查询字符串参数安全。我们不能隐藏用户,仍然使用网聊网址吗? –
谢谢拉杰,我只是这么做的。与此同时,我发送带有令牌的网络聊天网址到我的手机,并且我从手机和笔记本上打开了该链接。它在两个位置都打开并且共享数据。这是安全问题。我不希望其他人只通过特定的应用程序直接使用链接。 –