Oauth 状态参数如何防止CSRF攻击

Oauth 状态参数如何防止CSRF攻击,oauth,Oauth,第页中的说明如下: 状态(推荐)应用程序使用状态参数存储特定于请求的数据和/或防止CSRF攻击。授权服务器必须将未修改的状态值返回给应用程序 但我不清楚国家如何防止CSRF攻击。根据我的想法,如果有人抓到了这个包,那就是确保请求查询参数也被知道了,这样他就可以再次将它发送回去,以消除这个响应 常用的方法是将状态存储在用户会话中(如果存在),或者将其设置在安全的httponly cookie中(如果应用程序是无状态的)。然后在回调函数中比较它们(查询中的状态,以及会话/cookie中的状态) 如果

第页中的说明如下: 状态(推荐)应用程序使用状态参数存储特定于请求的数据和/或防止CSRF攻击。授权服务器必须将未修改的状态值返回给应用程序


但我不清楚国家如何防止CSRF攻击。根据我的想法,如果有人抓到了这个包,那就是确保请求查询参数也被知道了,这样他就可以再次将它发送回去,以消除这个响应

常用的方法是将
状态
存储在用户会话中(如果存在),或者将其设置在安全的httponly cookie中(如果应用程序是无状态的)。然后在回调函数中比较它们(查询中的
状态
,以及会话/cookie中的状态)

如果说“package”只是指HTTP流量(中间人攻击),那么如果您使用的是HTTPS协议,则任何东西都不能被劫持。这就是强烈建议仅通过HTTPS使用OAuth的原因