7.5. Request URI Swapping (请求 URI 调换)

攻击者可能从一个请求截获请求 URI, 再将其替换到另一授权请求中. 例如, 在 OpenID Connect 上下文中, 攻击者可能用要求较低身份保证级别的请求 URI 替换要求较高保证级别的请求 URI. 客户端应在推送的 Request Object 中使用 PKCE [RFC7636], 唯一的 state 参数 [RFC6749] 或 OIDC nonce 参数 [OIDC] 来防止此类攻击.