Loading…
Tilbage

Anbefaling vedr. brug af iFrames ifm. passiv login


Digitaliseringsstyrelsen har altid haft følgende politik for tjenesteudbyderes brug af iFrames i relation til NemLog-in:
•    Det er ikke tilladt at indlejre NemLog-ins brugerflade i en iFrame. 
•    Det er tilladt at anmode om et passivt brugerlogin i en iFrame (dvs. et login uden brugerinteraktion baseret på SSO). Læs mere i afsnit 8.4 og 8.5 i integrationsvejledningen https://tu.nemlog-in.dk/media/bb1nbgcs/10-integration-with-nemlog-in-v1-3.pdf 

Førstnævnte skyldes, at brugeren skal kunne se i browserens adressefelt, at de interagerer med den rigtige NemLog-in-løsning, og ikke et phishing site.

De passive log-ins i iFrames er historisk blevet anvendt af glaspladeportaler som Borger.dk og Virk.dk, som derved har kunne sammenstille indhold fra forskellige myndighedsløsninger (“integration on the glass”). Her har portalerne kunne foretage et aktivt log-in i browserens hovedvindue, hvorefter iFramede elementer fra andre myndighedsløsninger har kunne blive indlejret i siden med SSO (passivt login). Denne integrationsform er dog gradvist blevet afløst af mere moderne integrationsformer i portalerne.

Brugen af iFrames udfordres mere og mere af udviklingen i internetbrowsere, som implementerer tiltag til at blokere for tracking, phishing angreb, cross-site angreb, same site cookies mv. Derfor anbefaler Digitaliseringsstyrelsen, at tjenesteudbydere tilsluttet NemLog-in iværksætter planer for at implementere alternative og mere teknisk robuste integrationsformer, der ikke har brug for iFrames og anvendelse af 3. parts cookies.

Med venlig hilsen 
NemLog-in support