7.5. Request URI Swapping (Scambio dell’URI di richiesta)

Un attaccante potrebbe intercettare l’URI di una richiesta e sostituirlo in un’altra richiesta di autorizzazione, ad esempio in OpenID Connect sostituendo un URI che richiede un livello di assurance elevato con uno più basso. I client DOVREBBERO usare PKCE [RFC7636], un parametro state univoco [RFC6749] o il parametro nonce OIDC [OIDC] nel Request Object inviato per prevenire questo attacco.