MSAL stateMismatch的用途是什么

Question

msal:stateMismatch的用途是什么？该如何处理呢？

msal在从login.microsoftonline.com重定向回来后正在广播事件msal:stateMismatch。

我能找到的唯一信息是在GitHub站点上的spec.ts中：stateMismatch broadcast when state does not match

Answer 1

当STS返回的状态与MSAL发送的状态不同时，您将得到此结果。MSAL向STS发送与每个请求相关联的状态，并期望回复一致。有人可以截取请求并将其用于其他地方。如果请求是由外部URL调用的，任何人都可以在MSAL等待STS响应时使用假数据调用它。

根据用于维护请求和回调之间状态的spec：opaque值，CSRF缓解是通过将此参数的值与浏览器cookie进行加密绑定来完成的。这里有更多你可能会在CSRF attacks and the state parameter上感兴趣的信息。