angular - 在 OAUTH 隐式流中使用隐藏 iFrame 刷新令牌时出现 ClickJacking 威胁
问题描述
我们正在开发一个基于 Angular 5 的应用程序,它使用 Secure Auth ( https://www.secureauth.com/ ) 作为身份和访问控制解决方案。我们计划使用隐式流。在大多数 OAuth 客户端中,我们发现隐藏的 iFrame 用于静默刷新访问令牌。
但是默认情况下,Secure Auth IDP 不会在 iFrames 中打开,原因是它用于防止 Click Jacking... 这会阻止我们进行静默刷新。我们在 Identity Server 中没有发现这样的问题,另外大多数其他的像 Azure AD、AWS Cognito、Google 也推荐使用隐式流。
只是想知道这是否是一种威胁。任何意见表示赞赏。
解决方案
ClickJacking 仅在显示“不可见” UI 时才是一个问题。静默刷新不涉及 UI(这将是一个错误)。
这就是为什么在 IdentityServer 我们允许 iframe 授权端点 - 但不允许登录或同意页面,例如
推荐阅读
- database - 使用laravel导入时如何防止在数据库中复制csv文件?
- html - 我想在影响导航栏的图片上悬停
- php - 如何从 symfony 表单的多维字段中勾选特定复选框?
- python - 如何将具有相同文件名的csv导入数据框,应用一些程序,然后合并?
- azure - Azure 表:ExcuteBatch 返回什么结果?
- powershell - 从文本文件中获取最大数字并将其作为 var 递增 1
- r - 如何删除远程(postgresql)表上的排序?
- google-app-engine - “我的项目”的 App Engine 服务帐户不存在?
- jmeter - 如何将相对时间发送到 JMeter JTL 中的每个采样器
- c# - 在 Unity 中设置 Sprite 的位置