16.12. Open redirectors
Open redirector 是一个端点,使用参数自动将用户代理重定向到参数值指定的位置,而无需验证。攻击者可以使用最终用户授权端点和重定向 URI 参数,使用授权服务器以开放重定向形式使用授权服务器,在授权服务器中使用用户信任的攻击。
Red Hat Single Sign-On 要求所有注册的应用程序和客户端至少注册一个重定向 URI 模式。当 Red Hat Single Sign-On 执行重定向的客户端请求时,Red Hat Single Sign-On 会针对有效注册 URI 模式列表检查重定向 URI。客户端和应用程序必须尽可能注册为特定 URI 模式,以减少开放重定向器攻击。
如果应用程序需要一个非 http (s)自定义方案,它应该是验证模式的显式部分(如 custom:/app8:0:1::
)。为了安全起见,常规模式(如 *
)并不涵盖非 http。