Безопасные ссылки Microsoft разблокируют пользователя перед загрузкой страницы
Я столкнулся со странной проблемой с безопасными ссылками Microsoft. Когда мы отправляем пользователям электронные письма для разблокировки, Microsoft изменяет URL-адреса с помощью своих безопасных ссылок, и когда пользователь щелкает ссылку для разблокировки из электронной почты, Microsoft сначала открывает страницу в фоновом режиме по соображениям безопасности, пользователь разблокируется, а токен становится недействительным. Таким образом, он показывает, что токен разблокировки недействителен, когда страница загружается, но пользователь уже разблокирован.
Есть ли у кого-нибудь такая же проблема?
Спасибо.
1 ответ
Измените конечную точку проверки подлинности, чтобы обрабатывать трафик предварительного просмотра без записи кода проверки подлинности. Запрос от safelinks / Exchange Online Protection не будет включать те же заголовки, что и обычный клиентский запрос; просмотрите свои журналы из случаев, когда безопасные ссылки записывали код аутентификации, чтобы понять, какие типы запросов вы можете отклонить как несанкционированные. Убедитесь, что ваша конечная точка не завершает поток аутентификации для запросов HEAD (что означает возврат 405, если HTTP-метод запроса — HEAD); если safelinks также отправляет запросы GET, вероятно, должно сработать что-то вроде проверки заголовка UserAgent перед продолжением потока аутентификации. Вы не предоставляете никакой информации о своей структуре ссылок или стратегии аутентификации, кроме той, которая включает в себя какую-либо форму одноразового обмена токенами, но вам также следует проверить IETF RFC, чтобы подтвердить, что вы
Дополнительные мысли:
- URL-адреса в ваших электронных письмах всегда должны быть ссылками HTTPS (не HTTP).
- Вам может не хватать репутации отправителя электронной почты, чтобы электронные письма считались безопасными; ознакомьтесь со стратегиями создания безупречной репутации отправителя электронной почты.
- Ваши ссылки могут считаться сомнительными/небезопасными, если домен ссылки не совпадает с доменом отправителя.
- Это не лучшее решение для полированных продуктовых предложений, но попробуйте включить в электронное письмо текстовую (без гиперссылки) версию URL-адреса; большинство современных почтовых клиентов заметят, что это ссылка, и автоматически сделают гиперссылку для конечного пользователя, но безопасные ссылки, вероятно, сканируют необработанное тело электронной почты на наличие определенных
href
атрибуты. Их анализ URL-адресов исторически был довольно примитивным, и многие люди обходили его, находя что-то, что сбивает с толку стратегию сопоставления безопасных ссылок (например, https://halon.io/blog/fooled-microsofts-safe-link-technology). - Посоветуйте этим пользователям добавить ваш домен в свой список разрешений («белый список»), чтобы безопасные ссылки игнорировали ваши ссылки.