7.5. Request URI Swapping (Austausch der Request-URI)

Ein Angreifer könnte eine Request-URI abfangen und in eine andere Autorisierungsanfrage einsetzen, z. B. in OpenID Connect eine URI mit hohem Assurance-Level durch eine mit niedrigerem ersetzen. Clients SOLLTEN PKCE [RFC7636], einen eindeutigen state-Parameter [RFC6749] oder den OIDC-Parameter nonce [OIDC] im gepushten Request Object verwenden, um dies zu verhindern.