受到OAuth2 CSRF漏洞影響的部分網(wǎng)站列表(測試后)：

　　安全廠商：360網(wǎng)站 360瀏覽器 …

　　IT媒體：CSDN 中關村在線 …

　　團購：糯米團購 …

　　資訊：果殼 …

　　購物分享：蘑菇街 …

　　電商：聚美優(yōu)品 …

　　視頻：優(yōu)酷 樂視網(wǎng) CNTV …

　　招聘：大街 …

　　婚介：百合網(wǎng) …

　　輕博客：點點 …

　　SNS ：開心網(wǎng) …

　　隊對于OAuth2 CSRF漏洞防御的建議如下：

　　1)對于開發(fā)人員：

　　1，授權過程中傳遞state隨機哈希值，并在服務端進行判斷。

　　2，在綁定過程中，應強制用戶重新輸入用戶名密碼確認綁定，不要直接讀取當前用戶session進行綁定。

　　3，限制帶有Authorization code參數(shù)的請求僅能使用一次(避免重放攻擊)。

　　4，推薦使用Authorization Code方式進行授權，而不要使用Implicit Flow方式。這樣access token會從授權服務器以響應體的形式返回而不會暴露在客戶端。

　　2)對于普通用戶：

　　定期查看重要網(wǎng)站的第三方帳號綁定頁面，檢查是否有陌生的其他帳號綁定到自身賬戶，如果發(fā)現(xiàn)應立即取消綁定或授權。