10.4.2. Request URI Rewrite (Riscrittura URI)

Il valore di request_uri non è firmato e può essere alterato da un attaccante man-in-the-browser, ad esempio per scope aggiuntivi o DoS verso una vittima. Difese: a) verificare la destinazione di request_uri; b) tipo media application/oauth-authz-req+jwt; c) timeout sul recupero.