AUTH_014_PENDING_AUTH_STATE_NOT_IN_URL:
Severity: blocker. Bereich: gui/auth-magic-code-session.
Regel
(kein Regeltext)
Reflection-Check
check:
applies_when: login_or_magic_code_flow_preserves_identifier == true
fail: Redirects wie /login?email=... oder /login/code?email=... transportieren personenbezogene
Auth-Daten in der URL.
pass: Email oder anderer Login-Identifier bleibt ohne erneute Eingabe erhalten,
aber nicht in URL, Query, Fragment oder Redirect-Location; ein serverseitiger
Pending-State wird ueber opakes Secure/HttpOnly/SameSite-Cookie-Token mit kurzer
TTL referenziert und nach Erfolg geloescht.
type: flowEvidence
- WCAG_REDUNDANT_ENTRY, Understanding WCAG 3.3.7 Redundant Entry
- OWASP_SESSION, OWASP Session Management Cheat Sheet
- MDN_REFERRER_POLICY, Referrer policy configuration
- LOCAL_SECURITY_RULES, Lokale Security YAML Library