作者:jinnee5921_866 | 来源:互联网 | 2023-01-31 16:37
由于注销请求中没有clientId,因此无法对照客户端的有效重定向URI列表来验证URL,从而允许重定向到任意URL:
https:// idserver / auth / realms / realm / protocol / openid- connect / logout?redirect_uri = http%3A%2F%2Fattackers.website
有没有针对此问题的解决方法,或者它必须是代码修复程序?谢谢。
1> ahus1..:
您可以(并且应该)为领域中的每个客户端注册“有效重定向URI”。如果您不指定并指定“ *”以允许任何URL,那么您所描述的事情就会发生。
尝试使用领域“ master”(具有初始配置)注销:您将收到错误消息“ Invalid redirect uri”。