我已经为不同的Google服务实施了几次Google OAuth2登录,但是如果没有包含会话令牌,我从未真正考虑如何滥用状态令牌。
我理解CSRF的原则,并且我已经实现了我的OAuth2流程,如https://developers.google.com/accounts/docs/OAuth2Login中所述(状态令牌中包含会话令牌),我只是看不到攻击者如何在会话中滥用此功能令牌不存在。
也许这与我从Google许可页面成功回复后的操作有关(我获取了刷新+访问令牌,将它们存储到状态令牌中指定的用户并重定向到状态令牌中指定的另一个页面),但是怎么回事呢?
答案 0 :(得分:0)
我在相关问题中看到了这个答案,它解释了如何完成CSRF攻击(以及状态令牌如何阻止它):https://stackoverflow.com/a/23640462/736247