Вы получите это, когда состояние, возвращаемое STS, отличается от состояния, отправленного MSAL. MSAL отправляет состояние, связанное с каждым запросом, в STS и ожидает, что ответ будет согласованным. Кто-то может перехватить запрос и использовать его в другом месте. Если запрос вызывается внешним URL-адресом, любой может вызвать его, используя поддельные данные, пока MSAL ожидает ответа от STS.
В соответствии с spec : непрозрачным значением, используемым для поддержания состояния между запросом и обратным вызовом, смягчение CSRF выполняется путем криптографической привязки значения этого параметра с cookie-файлом браузера.
Вот еще информация, которая может оказаться интересной для CSRF-атак и параметра состояния .