在 Azure AD B2C 中使用状态参数易受开放重定向漏洞影响?
Using State Parameter in Azure AD B2C Susceptible to Open Redirect Vulnerability?
如果我使用 State 参数来控制 RedirectURI,如下所述:, wouldn't I be susceptible to Open Redirect Vulnerabilities?
我不是刚把问题从 RedirectURI 移到 State 参数吗?
状态参数可用于控制再次启动应用后的重定向。令牌只会去一个地方(由重定向 URL 指定)。之后,应用程序就可以安全地控制令牌,并且可以查看状态参数来确定 user/token 是否应该去到另一个地方。这在各种情况下都很有用,例如在您创建基于新闻的应用程序的情况下,您需要知道他们尝试从哪篇文章登录。然后他们将被重定向回同一篇文章,以便他们可以继续阅读。
The State parameter is opaque and the app should validate when it gets back from the authorization server (e.g. encrypted, signed, etc.).
来自 Omer Iqbal 的
如果我使用 State 参数来控制 RedirectURI,如下所述:
我不是刚把问题从 RedirectURI 移到 State 参数吗?
状态参数可用于控制再次启动应用后的重定向。令牌只会去一个地方(由重定向 URL 指定)。之后,应用程序就可以安全地控制令牌,并且可以查看状态参数来确定 user/token 是否应该去到另一个地方。这在各种情况下都很有用,例如在您创建基于新闻的应用程序的情况下,您需要知道他们尝试从哪篇文章登录。然后他们将被重定向回同一篇文章,以便他们可以继续阅读。
The
Stateparameter is opaque and the app should validate when it gets back from the authorization server (e.g. encrypted, signed, etc.).
来自 Omer Iqbal 的