問題描述最近在實(shí)現(xiàn)微信掃碼登錄這一塊，然后看到state字段上面說是可以防csrf攻擊但是一直想不明白state在這過程中的作用，我對csrf的理解不深，從網(wǎng)上搜尋各種相關(guān)文章，使用到最多的估計(jì)就是下面這張圖片了那么現(xiàn)在假設(shè)一個(gè)用戶掃完碼后由于某些原因掃碼后的響應(yīng)還沒到，但是該平臺(tái)的回調(diào)url已被竊取，然后被人設(shè)置到某個(gè)網(wǎng)頁上，用戶又剛好點(diǎn)到該網(wǎng)頁上的這個(gè)鏈接，導(dǎo)致該網(wǎng)頁可以冒名頂替該用戶登錄，進(jìn)入到登陸后的頁面。但是問題是，如果別人已經(jīng)提前知道了回調(diào)的url并設(shè)置在了網(wǎng)頁上，那么他應(yīng)該不知道code的值，那么在服務(wù)器端判斷是否帶有code不就可以了嗎，那如果code被獲取到了，那state也會(huì)被獲取到啊，那state發(fā)揮的作用在哪，不知道是不是我對csrf的理解有問題，或者說還沒有其他攻擊的場景，跪求大佬解釋,感激不盡!