msal:stateMismatch的目的是什么? 应该如何处理?
msal在从 login.microsoftonline.com 重定向回事件后msal:stateMismatch广播事件。
我能找到的唯一信息是在GitHub网站上的spec.ts中:stateMismatch broadcast when state does not match
当 STS 返回的状态与 MSAL 发送的状态不同时,你将得到此信息。MSAL 将与每个请求关联的状态发送到 STS,并期望回复保持一致。有人可以拦截请求并在其他地方使用它。如果请求由外部 URL 调用,则任何人都可以在 MSAL 等待来自 STS 的响应时使用虚假数据调用它。
根据用于维护请求和回调之间状态的规范:不透明值,CSRF 缓解是通过将此参数的值与浏览器 cookie 加密绑定来完成的。 以下是您可能会发现有关 CSRF 攻击和状态参数的更多信息。