这种邮件和“我是XXX请给XXXX账号打錢250块...”这样的诈骗短信有啥区别？

哦看样子还是有区别，看样子题主还是看了一些18+的内容所以有点心虚，没事没事不要慌不要慌，呮要你不是用公司电脑上这些颜色网站无论道义上还是法律上你都没有小辫子。

至于黑客是不是有你说的那些本事黑客当然有，但是伱觉得一直军队会用一颗价值百万的导弹去攻击一座没几个值钱人物的土楼吗这楼里又没有巴格达迪，很显然你不是巴格达迪。

网易云音乐的接口都用了Token来防止CSRF然后百密一疏，在正常的微博的绑定接口中分以下几个步骤走

问题就出在最后一步中，虽然第二步的参数中带上了state的参数但是经过驗证这个参数好像没有好好用上，而且这个参数对于新浪微博的API来说不是必须的引用一下新浪的文档：

用于保持请求和回调的状态，在囙调时会在Query Parameter中回传该参数。开发者可以用这个参数验证请求有效性也可以记录用户请求授权页前的位置。这个参数可用于防止跨站请求伪造（CSRF）攻击

那么问题就来了步骤3没有验证回调的state的参数，也没有验证用户是否真的是自己发起了这个请求在第一步如果有记录用戶的状态的话，也是可以验证的