10.14. 代码注入和输入验证

代码注入攻击当程序使用的输入或其他外部变量未清洗而导致对程序逻辑的修改时发生。 这可能允许攻击者对应用程序的设备或它的数据的访问权限,导致服务拒绝或引入许多的恶意副作用。

授权服务器和客户端必须清洗(并在可能的情况下验证)收到的任何值—特别是,“state”和“redirect_uri”参数的值。