ClickJacking угроза при использовании скрытых iFrames для обновления токенов в OAUTH неявном потоке

Question

ClickJacking угроза при использовании скрытых iFrames для обновления токенов в OAUTH неявном потоке

Мы разрабатываем приложение на основе Angular 5, которое использует Secure Auth ( https://www.secureauth.com/) в качестве решения для идентификации и контроля доступа. Мы планировали использовать неявный поток. В большинстве OAuth-клиентов мы обнаружили, что скрытые iFrames используются для автоматического обновления маркера доступа.

Однако по умолчанию Secure Auth IDP не открывается в iFrames, причина была в том, что он используется для предотвращения Click Jacking... Это мешает нам делать тихое обновление. Мы не обнаружили таких проблем в Identity Server. Также большинство других, таких как Azure AD, AWS Cognito, Google, также рекомендуют использовать неявный поток.

Просто интересно, если это такая угроза. Любые комментарии приветствуются.

1

angular iframe identityserver4 clickjacking implicit-flow

Источник

user810679 01 май '18 в 23:04

1 ответ

Решение

Другие вопросы по тегам angular iframe identityserver4 clickjacking implicit-flow

user672453 02 май '18 в 05:16 2018-05-02 05:16 · Accepted Answer · 2018-05-02 05:16

ClickJacking имеет значение, только если отображается "невидимый" пользовательский интерфейс. Автоматическое обновление не включает пользовательский интерфейс (это было бы ошибкой).

Вот почему в IdentityServer мы разрешаем создание фрейма конечной точки авторизации, но не страницы входа или согласия, например