Digitaliseringsstyrelsen har altid haft følgende politik for
tjenesteudbyderes brug af iFrames i relation til NemLog-in:
•
Det er ikke tilladt at indlejre NemLog-ins brugerflade i en
iFrame.
• Det er tilladt at anmode om et passivt brugerlogin
i en iFrame (dvs. et login uden brugerinteraktion baseret på SSO). Læs
mere i afsnit 8.4 og 8.5 i integrationsvejledningen https://tu.nemlog-in.dk/media/bb1nbgcs/10-integration-with-nemlog-in-v1-3.pdf
Førstnævnte skyldes, at brugeren skal kunne se i browserens
adressefelt, at de interagerer med den rigtige NemLog-in-løsning, og
ikke et phishing site.
De passive log-ins i iFrames er historisk blevet anvendt af
glaspladeportaler som Borger.dk og Virk.dk, som derved har kunne
sammenstille indhold fra forskellige myndighedsløsninger (“integration
on the glass”). Her har portalerne kunne foretage et aktivt log-in i
browserens hovedvindue, hvorefter iFramede elementer fra andre
myndighedsløsninger har kunne blive indlejret i siden med SSO (passivt
login). Denne integrationsform er dog gradvist blevet afløst af mere
moderne integrationsformer i portalerne.
Brugen af iFrames udfordres mere og mere af udviklingen i
internetbrowsere, som implementerer tiltag til at blokere for
tracking, phishing angreb, cross-site angreb, same site cookies mv.
Derfor anbefaler Digitaliseringsstyrelsen, at tjenesteudbydere
tilsluttet NemLog-in iværksætter planer for at implementere
alternative og mere teknisk robuste integrationsformer, der ikke har
brug for iFrames og anvendelse af 3. parts cookies.
Med venlig hilsen
NemLog-in support