1

我们正在开发一个基于 Angular 5 的应用程序,它使用 Secure Auth ( https://www.secureauth.com/ ) 作为身份和访问控制解决方案。我们计划使用隐式流。在大多数 OAuth 客户端中,我们发现隐藏的 iFrame 用于静默刷新访问令牌。

但是默认情况下,Secure Auth IDP 不会在 iFrames 中打开,原因是它用于防止 Click Jacking... 这会阻止我们进行静默刷新。我们在 Identity Server 中没有发现这样的问题,另外大多数其他的像 Azure AD、AWS Cognito、Google 也推荐使用隐式流。

只是想知道这是否是一种威胁。任何意见表示赞赏。

4

1 回答 1

1

ClickJacking 仅在显示“不可见” UI 时才是一个问题。静默刷新不涉及 UI(这将是一个错误)。

这就是为什么在 IdentityServer 我们允许 iframe 授权端点 - 但不允许登录或同意页面,例如

于 2018-05-02T05:16:50.637 回答