从KeyCloak登录页面进行身份验证时,它将会话代码作为查询参数传递。有没有一种方法可以避免这种情况并以不同的方式传递会话代码(例如,作为标头参数)
POST https://xxx/auth/realms/xxx/login-actions/authenticate?session_code=xxxxxxxxx&execution=xxxxxx&client_id=xxx&tab_id=xxxx HTTP / 1.1
答案 0 :(得分:0)
除了修改源代码外,没有其他方法可以防止这种情况。您为什么认为这是安全漏洞?会话代码用于CSRF(跨站点请求伪造)保护。实际的会话标识符存储在浏览器Cookie中。