在 OAUTH 隐式流程中使用隐藏的 iFrame 刷新令牌时的 ClickJacking 威胁
ClickJacking threat while using hidden iFrames for refreshing tokens in OAUTH Implicit flow
我们正在开发基于 Angular 5 的应用程序,它使用安全身份验证 (https://www.secureauth.com/) 作为身份和访问控制解决方案。我们计划使用隐式流程。在大多数 OAuth 客户端中,我们发现隐藏的 iFrame 用于静默刷新访问令牌。
但是默认情况下,Secure Auth IDP 不会在 iFrame 中打开,给出的原因是它用于防止点击劫持...这会阻止我们进行静默刷新。我们在 Identity Server 中没有发现这样的问题,而且其他大多数像 Azure AD,AWS Cognito,Google 也推荐使用隐式流。
只是想知道这是否是一种威胁。如有任何意见,我们将不胜感激。
ClickJacking 仅在显示 "invisible" UI 时才是问题。静默刷新不涉及 UI(那将是一个错误)。
这就是为什么在 IdentityServer 中我们允许 iframing 授权端点 - 但不允许登录或同意页面,例如
我们正在开发基于 Angular 5 的应用程序,它使用安全身份验证 (https://www.secureauth.com/) 作为身份和访问控制解决方案。我们计划使用隐式流程。在大多数 OAuth 客户端中,我们发现隐藏的 iFrame 用于静默刷新访问令牌。
但是默认情况下,Secure Auth IDP 不会在 iFrame 中打开,给出的原因是它用于防止点击劫持...这会阻止我们进行静默刷新。我们在 Identity Server 中没有发现这样的问题,而且其他大多数像 Azure AD,AWS Cognito,Google 也推荐使用隐式流。
只是想知道这是否是一种威胁。如有任何意见,我们将不胜感激。
ClickJacking 仅在显示 "invisible" UI 时才是问题。静默刷新不涉及 UI(那将是一个错误)。
这就是为什么在 IdentityServer 中我们允许 iframing 授权端点 - 但不允许登录或同意页面,例如