ClickJacking угроза при использовании скрытых iFrames для обновления токенов в OAUTH неявном потоке

Question

Мы разрабатываем приложение на основе Angular 5, которое использует Secure Auth (https://www.secureauth.com/) в качестве решения для идентификации и контроля доступа. Мы планировали использовать неявный поток. В большинстве клиентов OAuth мы обнаружили, что скрытые iFrames используются для автоматического обновления токена доступа.

Однако по умолчанию Secure Auth IDP не открывается в iFrames, причина была в том, что он используется для предотвращения Click Jacking ... Это мешает нам выполнять тихое обновление. Мы не обнаружили таких проблем в Identity Server. Также большинство других, таких как Azure AD, AWS Cognito, Google, также рекомендуют использовать неявный поток.

Просто интересно, если это такая угроза. Любые комментарии приветствуются.

Answer 1

ClickJacking имеет значение, только если отображается «невидимый» пользовательский интерфейс. Автоматическое обновление не включает пользовательский интерфейс (это было бы ошибкой).

Именно поэтому в IdentityServer мы разрешаем создание фрейма конечной точки авторизации, но не страницы входа или согласия, например,