状態パラメータがCSRF攻撃を防止する方法

Question

ページのでは、次のように述べています。 state（推奨）状態パラメータは、アプリケーションが要求固有のデータを格納したりCSRF攻撃を防止するために使用されます。承認サーバーは、変更されていない状態値をアプリケーションに戻す必要があります。

しかし、どのように状態がCSRF攻撃を防止するかについてはわかりません。私の考えでは、誰かがパケージをキャッチすると、リクエストクエリーパラメータもわかっているので、彼はそれを再度送ってこのレスポンスを消えることができます。

Answer 1

一般的な方法は、ユーザーのセッション（存在する場合）またはセキュアなhttponlyクッキー（アプリケーションがステートレスの場合）に設定することによってstateを保存することです。あなたのコールバック関数でそれらを比較します（クエリからのstateとセッション/クッキーからのもの）。

「パッケージ」とは、HTTPトラフィック（man-in-the-middle攻撃）だけを意味する場合、HTTPSプロトコルを使用している場合は何もハイジャックされません。そのため、OAuthはHTTPS経由でのみ使用することを強くお勧めします。