Я прочитал некоторые документы онлайн о предотвращении CSRF-атак на запросы OAuth2 с использованием параметра состояния. Однако я понимаю, что параметр состояния, хотя и является случайным и неосуществимым, все еще является частью URL-адреса запроса и может быть легко скопирован злоумышленником, который затем может перехватить ответ сервера, изменить некоторую информацию и затем вернуть состояние значение, которое было прочитано из первоначального запроса. Когда клиент проверяет ответ, значение состояния все равно будет совпадать! Не могли бы вы сказать, что мне здесь не хватает?