- 貌似Authing console 没有校验oauth state 参数,存在跨站脚本攻击
- 另外貌似安全管理的安全域(cors)不能对app的认证地址(https://***.authing.cn/oidc/auth)生效。
我写了一个简单的html, 可以很轻松的拿到当前用户的oauth code,从而可以在另外机器上,代替用户登录。另外,请在查看html 源码情况下运行。。
https://zizi.press/authingtest.html
潜在的解决方案,
- 校验state参数
- 可以对认证地址(https://***.authing.cn/oidc/auth)加上跨域cors的白名单。