Sono nuovo del problema CSRF e sto studiando come implementare la protezione CSRF in applicazioni popolari come Facebook, Instagram, ecc. Ora sto studiando come viene utilizzata la protezione CSRF nell'implementazione di OAuth.
Alcuni servizi (Instagram, Todoist) consentono di passare un argomento aggiuntivo quando viene richiesto un URL di autorizzazione OAuth. Questo argomento è descritto in Instagram:
You may provide an optional state parameter to carry through a server-specific state. For example, you can use this to protect against CSRF issues.
Quando ho elaborato con un diverso code
il token CSRF in forma nella pagina in cui l'utente (dis) consente l'accesso al suo account, è lo stesso in tutte le richieste anche se fornisco un valore diverso per code
. Va bene?
Hai un'idea di come trasformano code
in token CSRF e in che modo viene utilizzato questo token per la protezione CSRF? Per favore, potresti spiegare come funziona?
EDIT1
Ho trovato che un token CSRF per sessione non è probabilmente un problema e generare un token univoco per richiesta porta a un problema applicativo (back-button ecc.), source - link
Ma ancora non so come viene usato il parametro code
sopra o trasformato in token CSRF.