此页面由 Cloud Translation API 翻译。

使用 WebOTP API 在跨源 iframe 中填充动态密码表单

WebOTP API 现在可以从 iframe 中接收动态密码。

Eiji Kitamura

Yi Gu

短信动态密码（动态密码）通常用于验证手机号码，例如身份验证的第二步，或验证网上付款。但是，可以在浏览器和短信应用之间切换，无论是复制粘贴还是手动复制输入动态密码很容易出错，还会增加用户体验。

WebOTP API 使网站能够以编程方式从短信中获取动态密码并输入自动显示在表单中，无需切换应用。该短信采用特殊格式，并且与源绑定，因此可以降低也有可能让钓鱼网站有机会窃取动态密码。

WebOTP 尚不支持的一个用例是定位来源放置在 iframe 内。这通常用于确认付款，尤其是 3D Secure 提供安全保护。拥有共同的格式来支持跨源 iframes，WebOTP API 现在从 Chrome 91 开始，将动态密码绑定到嵌套源。

WebOTP API 的工作原理

WebOTP API 本身非常简单：

…
  const otp = await navigator.credentials.get({
    otp: { transport:['sms'] }
  });
…

Your OTP is: 123456.

@web-otp.glitch.me #12345

请注意，最后一行包含要绑定的起点，前面为 @，后跟带有 # 的动态密码。

收到短信后，系统会弹出信息栏并提示用户验证其电话号码用户点击 Verify 按钮后，浏览器自动将动态密码转发到网站，并解析 navigator.credentials.get()。然后，网站可以提取动态密码并完成验证流程。

要了解使用 WebOTP 的基础知识，请参阅使用 WebOTP API。

在付款过程中，在表单内在跨源 iframe 内输入动态密码很常见场景。某些信用卡发卡行要求执行额外的验证步骤检查付款人的真实性。这称为 3D Secure，形式为通常在同一网页上的 iframe 中显示，就好像它是付款流程。

例如：

若要在跨源 iframe 中使用 WebOTP API，您需要执行以下两项操作：事情：

。 <ph type="x-smartling-placeholder">

</ph>

iframe 中的 WebOTP API 的实际应用。

您可以访问以下网址自行试用演示版： https://web-otp-iframe-demo.stackblitz.io.

从 iframe 中调用 WebOTP API 时，短信必须请依次添加上一帧起始地（后跟 @）和动态密码 (OTP)，以 # 开头后跟前缀为 @ 的 iframe 来源。

@shop.example #123456 @bank.exmple

要在跨源 iframe 中使用 WebOTP，嵌入器必须向此通过 otp-credentials 权限政策创建 API，以避免意外发生行为一般来说，有两种方式可以实现这一目标：

Permissions-Policy: otp-credentials=(self "https://bank.example")

<iframe src="https://bank.example/…" allow="otp-credentials"></iframe>

Chrome 目前仅支持从跨源 iframe 调用 WebOTP API 在其祖先链中不超过一个唯一来源。在以下情况：

支持在 b.com 中使用 WebOTP，但不支持在 c.com 中使用。

请注意，由于需求不足，以下场景也不受支持和用户体验复杂性

虽然 Chromium 以外的浏览器引擎不会实现 WebOTP API， Safari 使用相同的短信格式及其 input[autocomplete="one-time-code"] 支持。在 Safari 中，包含源站绑定的一次性代码格式的短信到达源，则键盘建议在输入字段中输入动态密码。

自 2021 年 4 月起，Safari 支持通过 %。不过，按照规范讨论的结果，改用 @，我们希望支持的短信格式的实现将会收敛。

您的反馈对于改进 WebOTP API 至关重要，欢迎继续试用请告诉我们和你的想法一样

照片由 rupixen.com 提供，由 Unsplash 提供