OAuth2.0忽略state参数引发的CSRF漏洞

在开发 OAuth认证服务器 的时候，开发者的安全意识不高的话，很可能会忽略 state 参数，从而导致 出现 csrf 漏洞。

但是在说明这个state参数前，有必要了解大部分程序员所写的绑定OAuth账号流程，由于绑定流程很多，这里挑最常见的“用户在第三方网站A上登录后，通过Authorization code方式绑定微博流程（也是这个漏洞常见的场景流程）：

1、用户甲到第三方网站A登录后，到了绑定页面。此时还没绑定微博。绑定页面提供一个按钮：“绑定微博”（地址a： >

这篇文章的主要内容来源于另外一个作者，文章地址： 移花接木：针对OAuth2的CSRF攻击

不过针对 OAuth20 的 CSRF 攻击我有两个疑问点，先列出来：

1如果授权码(Authorization code)和 client_id、redirect_uri 是绑定的，即便攻击者把 Tonr 网站触发申请令牌的 >

以上就是关于OAuth2.0忽略state参数引发的CSRF漏洞全部的内容，包括:OAuth2.0忽略state参数引发的CSRF漏洞、Spring Cloud Oauth2 + Security 填坑记、针对 OAuth2.0 的 CSRF 攻击等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！