안녕하세요.
iOS에서 카카오 로그인 SDK를 사용중인데, CSRF 공격 방지를 위해서 다음과 같이 로그인 시 state 변수를 추가했습니다.
UserApi.shared.loginWithKakaoAccount(state: "stateValue") { }
하지만 요청이 완료된 후 state 값을 전달해주지 않고 있어서 전달한 state 값과 요청 완료 후의 값을 비교할 수 없어 보입니다.
혹시 SDK 내부에서 검증하는 부분이 있을까 해서 값을 변조하여 테스트해보았으나 검증되지 않고 로그인이 성공되었습니다.
state를 검증할 수 있는 방법이 있을지 문의드립니다.
사용중인 iOS SDK 버전은 2.15.0 입니다.
고맙습니다.