我已经在线阅读了一些有关使用state参数防止对OAuth2请求进行CSRF攻击的文档。但是,我的理解是,状态参数尽管是随机且不可猜测的,但仍是请求URL的一部分,并且可以轻松地被攻击者复制,攻击者随后可以拦截服务器响应,更改某些信息,然后放回状态从初始请求中读取的值。当客户端验证响应时,状态值仍将匹配!你能告诉我我在这里想念什么吗?
答案 0 :(得分:0)
我认为针对请求和/或响应的拦截和更改(这是中间人攻击的一种特定类型)的唯一保护措施是使用客户端和服务器之间的安全传输。
传统上,这是通过使用https:而不是http:作为协议来完成的。