0
該規範建議使用state參數來幫助減輕CSRF-lie攻擊向量。但是,如果auth工作流是使用基於令牌的身份驗證而不是基於會話的用戶用戶的基於auth的身份驗證實施的,那麼考慮到無法在會話上設置該狀態,建議管理該狀態。OpenID Connect狀態參數沒有cookie
A
回答
0
CSRF涉及基於瀏覽器的用戶代理。應加密地將state綁定到用戶代理。由於將綁定存儲在基於瀏覽器的用戶代理可用的請求/響應對上的唯一機制是Cookie或HTML存儲,因此您只能使用這些選項。
相關問題
- 1. OpenID Connect提示參數:SHOULD vs MUST
- 2. 購物車/登錄狀態 - 沒有Cookie?
- 3. 保持狀態,沒有一個cookie
- 4. OpenID Connect會話管理中的會話狀態
- 5. OneLogin OIDC OpenID-Connect
- 6. Keycloak,openId-connect userInfo
- 7. OpenId + Facebook Connect
- 8. 狀態參數沒有進入其他狀態
- 9. OAuth 2.0和OpenID Connect
- 10. Passport-OpenID Connect配置
- 11. OpenId Connect,SSO和SPA
- 12. iTunes Connect截圖iPhone 6/6Plus沒有狀態欄?
- 13. 在cookie中保護OAuth/OpenID Connect身份以便於登錄
- 14. Symfony2的 - 沒有會話cookie有狀態的API密鑰認證
- 15. OpenID Connect的會話ID
- 16. OpenID Connect不可用於「oktapreview」
- 17. 基於OpenID Connect的Plugin Architecutre
- 18. OpenID Connect UserInfo端點用法
- 19. OpenID Connect ASP NET MVC AAD
- 20. OAuthWebSecurity - 沒有OpenID
- 21. 有角的ui路由器。基於父狀態參數的子狀態參數
- 22. 可靠的有狀態服務/參與者狀態參考
- 23. MSN openID集成的狀態是什麼?
- 24. React-Redux connect()不更新組件,即使當狀態改變時沒有突變
- 25. Connect2Id,可能的CSRF檢測 - 狀態參數是必需的,但沒有狀態可以被發現
- 26. DotNetOpenAuth OAuth2.0的狀態參數
- 27. Activator.GetObject - 使用狀態參數
- 28. OpenId Connect中間件未在WebForms應用程序中設置身份驗證Cookie
- 29. KitKat沒有translucide狀態欄
- 30. 狀態沒有反應