Qualsiasi problema con l'autorizzazione di CORS su un endpoint oauth2

4

Sono tentato di lasciare che il mio OP OpenID Connect / Oauth2 accetti la richiesta CORS su un endpoint oauth2 dopo aver controllato l'ID cliente e la sua origine consentita corrispondono.

In questo modo un RP sarebbe in grado di ottenere una risposta direttamente senza usare redirect_uri o un relay di post-messaggio o un follia del relay di archiviazione web.

Tutti i problemi previsti?

    
posta Zorina C. 27.11.2015 - 12:48
fonte

1 risposta

1

Se limiti l'output delle intestazioni CORS solo per gli ID client attendibili e le combinazioni di origine, non dovrebbe aprire il tuo sito a nessun vettore di attacco CSRF.

    
risposta data 30.11.2015 - 10:52
fonte

Leggi altre domande sui tag