Angular 使用隐藏iFrame刷新OAUTH隐式流中的令牌时，单击劫持威胁_Angular_Iframe_Identityserver4_Clickjacking_Implicit Flow

Angular 使用隐藏iFrame刷新OAUTH隐式流中的令牌时，单击劫持威胁

angular iframe identityserver4

Angular 使用隐藏iFrame刷新OAUTH隐式流中的令牌时，单击劫持威胁,angular,iframe,identityserver4,clickjacking,implicit-flow,Angular,Iframe,Identityserver4,Clickjacking,Implicit Flow,我们正在开发一个基于Angular 5的应用程序，它使用Secure Auth（）作为身份和访问控制解决方案。我们计划使用隐式流。在大多数OAuth客户机中，我们发现隐藏的iFrame用于静默地刷新访问令牌但是，默认情况下，Secure Auth IDP不会在iFrames中打开，原因是它用于防止点击劫持。。。这会阻止我们进行静默刷新。我们在Identity Server中没有发现这样的问题，大多数其他的如Azure AD、AWS Cognito、Google也建议使用隐式流只是想知道这是否

我们正在开发一个基于Angular 5的应用程序，它使用Secure Auth（）作为身份和访问控制解决方案。我们计划使用隐式流。在大多数OAuth客户机中，我们发现隐藏的iFrame用于静默地刷新访问令牌

但是，默认情况下，Secure Auth IDP不会在iFrames中打开，原因是它用于防止点击劫持。。。这会阻止我们进行静默刷新。我们在Identity Server中没有发现这样的问题，大多数其他的如Azure AD、AWS Cognito、Google也建议使用隐式流

只是想知道这是否是一种威胁。欢迎发表任何意见。

只有在显示“不可见”用户界面时，点击劫持才是一个问题。静默刷新不涉及UI（这将是一个错误）

这就是为什么在IdentityServer中，我们允许iframing授权端点，但不允许登录或同意页面，例如

谢谢您的回答