我已将keycloack-6.0.1与angular Web应用程序集成在一起。我已为Keycloak客户端配置了有效的重定向URL和具有特定DNS的Web起源(Web起源中未提及*)。每当Web应用程序请求从密钥斗篷获取令牌时,都会使用Burp Suite截获/ token请求,并将请求标头(即原始)修改为“ *”。 Keycloak仍会在响应中发送令牌,并在响应头中发送“ Access-Control-Allow-Origin:*”。
请提出除Keycloak客户端配置(即Web起源)中提到的以外,建议采取其他任何方式限制从Keycloak服务器获取令牌以获取请求来源