Fornito in OAuth 2.0 o in altre applicazioni Web o persino nel server API REST. Come proteggeresti gli utenti dall'utilizzo di un client malintenzionato o di un browser compromesso?
Per OAuth il client secret può essere inserito in un'applicazione esistente ed estratto Rischio di mantenere OAuth2 client_secret nell'applicazione
Anche con l'uso di un redirect_uri, il client malintenzionato può semplicemente prenderlo e continuare a reindirizzare verso il proprio sito.
Con una normale app Web, un token XSRF viene comunque generato sul server e passato al client e l'utente può comunque inserire le proprie credenziali.
Un client compromesso può anche ignorare i controlli CORS e inviare tutto ciò che desidera come Origin
header.
Sono piuttosto incline a pensare che l'unica prevenzione sia quella di dire agli utenti di assicurarsi che i tuoi clienti / app / browser provengano da fonti attendibili e che non è davvero qualcosa che può essere affrontato tecnicamente.