的目的是msal:stateMismatch什么?应该如何处理?
msalmsal:stateMismatch从 login.microsoftonline.com 重定向回来后正在 广播该事件。
我能找到的唯一信息是 GitHub 网站上的 spec.ts:stateMismatch broadcast when state does not match
问问题
125 次
1 回答
1
当 STS 返回的状态与 MSAL 发送的状态不同时,您将收到此信息。MSAL 向 STS 发送与每个请求关联的状态,并期望回复是一致的。有人可以拦截请求并在其他地方使用它。如果请求由外部 URL 调用,任何人都可以在 MSAL 等待来自 STS 的响应时使用假数据调用它。
根据规范:用于维护请求和回调之间状态的不透明值,CSRF 缓解是通过加密将此参数的值与浏览器 cookie 绑定来完成的。以下是您可能会发现有关CSRF 攻击和 state 参数的更多信息。
于 2019-04-09T18:26:57.807 回答