App Engine OpenID - /_ah/xrds的请求出现404错误

Question

Yahoo和AOL正在向我的一个App Engine应用程序上的/_ah/xrds提交请求。我的理解是，当Providing OpenIDs时，xrds是响应的一部分。我不打算提供OpenID。我现在假设有人试图利用OpenID系统中的漏洞来处理垃圾邮件之类的事情，因为我也收到了来自俄罗斯的请求。这是一个我几乎没有经验的领域，所以我的假设和问题可能是错误的，请随时纠正我。

为什么Yahoo和AOL要向/_ah/xrds发送请求？

我如何响应python/WebApp2中请求，让他们知道我没有提供OpenID？

Answer 1

如果你可以在流程中发布，这个请求即将到来，这将有助于调试问题。然而，最有可能的解释是雅虎！和尝试对提供的“领域”字符串执行发现，以确保可以从领域字符串指定的站点发现return_to URL。这是OpenID2规范的第11.1和13节中指定的安全措施。

AOL提供程序的正常流程是验证return_to OpenID (根据第11.1节)，该URL在领域字符串上执行发现(来自第13节的XRDS)。如果无法验证AOL，则return_to将在UI中向用户显示一条警告消息。

有关上述流程的更详细描述以及如何解决，可以在此处找到：AOL openid website verification