标签: azure-ad-b2c azure-ad-b2c-custom-policy
我是b2c的新手,所以如果我的问题是显而易见的事情,请原谅。 注册后,有一个用于设置密码的自定义策略。该策略运行正常,并更新了密码。如果在浏览器中再次使用相同的链接,则策略正确显示激活链接已过期的错误。 问题是,如果有人捕获了更改密码的HTTP请求(尤其是POST请求),并在带有密码字段新值的工具中再次发送了密码,则它实际上会更新b2c中的密码。 您能否建议如何保护此POST步骤?
答案 0 :(得分:0)
您可以按照this Azure AD B2C sample的说明添加验证码。
这应该防止直接重播注册步骤。