主题
当输入或其它外部变量在未经消毒的情况下被应用使用,并且导致应用逻辑被修改时,就会发生代码注入攻击。这可能会允许攻击者访问应用设备或其数据,导致拒绝服务,或引入一系列恶意副作用。
授权服务器和客户端必须对接收到的任何值进行消毒(并在可能的情况下进行验证)——特别是 state 和 redirect_uri 参数的值。
