Oauth 状态参数如何防止CSRF攻击_Oauth

Oauth 状态参数如何防止CSRF攻击

oauth

Oauth 状态参数如何防止CSRF攻击,oauth,Oauth,第页中的说明如下：状态（推荐）应用程序使用状态参数存储特定于请求的数据和/或防止CSRF攻击。授权服务器必须将未修改的状态值返回给应用程序但我不清楚国家如何防止CSRF攻击。根据我的想法，如果有人抓到了这个包，那就是确保请求查询参数也被知道了，这样他就可以再次将它发送回去，以消除这个响应常用的方法是将状态存储在用户会话中（如果存在），或者将其设置在安全的httponly cookie中（如果应用程序是无状态的）。然后在回调函数中比较它们（查询中的状态，以及会话/cookie中的状态）如果

第页中的说明如下：状态（推荐）应用程序使用状态参数存储特定于请求的数据和/或防止CSRF攻击。授权服务器必须将未修改的状态值返回给应用程序

但我不清楚国家如何防止CSRF攻击。根据我的想法，如果有人抓到了这个包，那就是确保请求查询参数也被知道了，这样他就可以再次将它发送回去，以消除这个响应

常用的方法是将

状态

存储在用户会话中（如果存在），或者将其设置在安全的httponly cookie中（如果应用程序是无状态的）。然后在回调函数中比较它们（查询中的

状态

，以及会话/cookie中的状态）

如果说“package”只是指HTTP流量（中间人攻击），那么如果您使用的是HTTPS协议，则任何东西都不能被劫持。这就是强烈建议仅通过HTTPS使用OAuth的原因