0
該規範建議使用state
參數來幫助減輕CSRF-lie攻擊向量。但是,如果auth工作流是使用基於令牌的身份驗證而不是基於會話的用戶用戶的基於auth的身份驗證實施的,那麼考慮到無法在會話上設置該狀態,建議管理該狀態。OpenID Connect狀態參數沒有cookie
該規範建議使用state
參數來幫助減輕CSRF-lie攻擊向量。但是,如果auth工作流是使用基於令牌的身份驗證而不是基於會話的用戶用戶的基於auth的身份驗證實施的,那麼考慮到無法在會話上設置該狀態,建議管理該狀態。OpenID Connect狀態參數沒有cookie
CSRF涉及基於瀏覽器的用戶代理。應加密地將state
綁定到用戶代理。由於將綁定存儲在基於瀏覽器的用戶代理可用的請求/響應對上的唯一機制是Cookie或HTML存儲,因此您只能使用這些選項。