10.4.2. Request URI Rewrite (请求 URI 重写)

request_uri 的值未经签名; 因而可被浏览器内中间人攻击篡改. 由此产生多种攻击可能. 例如, a) 攻击者可创建重写 URI 所指向的另一文件, 从而可能请求额外 scope, 或 b) 攻击者可将 request_uri 设为受害者站点以对其发起 DoS.

为防此类攻击成功, 服务器应 a) 检查 request_uri 参数值是否指向意外位置, b) 检查响应媒体类型是否为 application/oauth-authz-req+jwt, c) 为获取 request_uri 内容实现超时.