个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
使用 OpenID Connect 隐式流,授权服务器在身份验证成功后重定向回客户端。 location header 将包含 token 作为 url 片段 (#id_token=xyz)。
这可以防止 token 通过引用者或类似内容从用户代理泄漏到包含的资源。
但是,如果重定向目标页面中包含 javascript 文件等第 3 方资源,这些脚本将通过文档位置访问 token 。
在包含第三方资源时,保护客户端 token 的最佳实践是什么?例如。您通常会实现一个“受限”重定向目标,在再次重定向之前将 url 片段交换为 cookie?
更新
说得更清楚一点:根据 @janhalasa 的回答,攻击场景不包含不受信任的 JavaScript。攻击线更倾向于无意中泄露 token ,例如将文档 uri 传输到外部服务器的库(谷歌分析?)。通过将哈希片段移至 session 存储,它不会被意外泄漏。
最佳答案
如果您不信任正在使用的外部库,最好停止使用它们。无论您在何处使用 JavaScript 代码隐藏 ID token (cookie、sessionStorage、localStorage),库都能够找到它,因为您的代码和库代码都在同一运行时环境中运行。
我认为常见的做法是将 token 保留在 sessionStorage 中,并且仅将其附加到需要它的请求。 sessionStorage 的优点是能够承受重新加载/重定向,并且只能通过应用程序的文档访问。
关于google-analytics - 使用 OpenId Connect 隐式流时如何保护客户端中的 token ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/46907902/
24
4
0
我刚刚更新了 Ruby,现在我在尝试启动 compass 时遇到以下错误: Encoding::CompatibilityError on line ["28"] of /usr/local/Cell
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。 我们不允许提问寻求书籍、工具、软件库等的推荐。您可以编辑问题,以便用事实和引用来回答。 关闭 6 年前。
关闭。这个问题需要debugging details .它目前不接受答案。 编辑问题以包含 desired behavior, a specific problem or error, and th
按照目前的情况,这个问题不适合我们的问答形式。我们希望答案得到事实、引用或专业知识的支持,但这个问题可能会引发辩论、争论、投票或扩展讨论。如果您觉得这个问题可以改进并可能重新打开,visit the
我正在尝试在我的 iOS 应用程序中开发可折叠/ Accordion 式的功能。这将是您可以在网站上找到的典型 FAQ 类型功能。我想点击标题,然后显示详细信息。 因为这是帮助部分,只有几个项目,我认
我正在尝试设计一个基于 REST 的 Web 服务来与我正在开发的农场动物管理系统进行交互。 为了详细说明问题,我收藏了动物 属于一个农场。每只动物都有自己的信息——例如姓名、身份证号、品种年龄等。因
我有 3 种不同的表单,其中复选框数量不同,每个部分基本上代表一个表单,因此当用户选择该部分中的复选框时,它会显示他们在该部分的总金额中 checkout 了多少 HTML
我有一份 32 页的 PDF 版家谱。与其将家谱全部放在一个非常大的 PDF 页面上(这是我想要的),不如将其格式化为一组 8 个单独的美国信纸大小的页面应该在整个宽度上缝合; 4 行这样就完成了树。
指SASS implementation for Java? : 在 Maven 目标编译包中自动编译 compass-style.org 样式表的最佳方法是什么? 我不想发送太多的自编译库,也不想通
鉴于以下 XAML... 我正在寻找一种绑定(bind) ComboBox、Button 和 Command 的方法,以便当 ComboBox 的值更改时,在 Command 上调用 CanExe
在玩具应用程序中,我有一个显示所有帖子标题的“帖子”模板。当您单击每个标题时,我不想直接进入“显示” View ,而是直接内联展开该帖子的其余内容。 我考虑过让 postRoute 重用 postsR
我需要一些使用 Twitter Bootstrap 或其他响应式框架的自定义 Swagger-UI 实现。需要在我的移动设备上使用这样的 UI 测试我的 API,但 swagger-ui 不能很好地扩
我正在做一个项目,我真的在尝试编写面向对象的 JavaScript 代码。我刚刚开始阅读Douglas Crockford's JavaScript: The Good Parts我很快开始意识到用
在 C# 中,我通过执行以下操作来加密文本数据(请注意我正在以 block ( block )的形式加密数据): public string EncryptData(string pu
我正在构建一个社交网站,该网站将向全世界公开 REST API (WCF WebAPI),以便任何开发人员都能够为该网站创建客户端应用程序、将其与其他服务集成等。 我想为 API 实现 Faceboo
我是一名优秀的程序员,十分优秀!