关于state的使用问题

[yourke]

生成的state参数，是不是要和当前session绑定，或者存到cookie中，才能避免CSRF攻击？
攻击者可以使用自己的第三方账号，授权拿到code和state，诱导受害者去点击触发回调请求，在不绑定session的情况下，回调接口中对state校验是可以通过的。
我理解的有问题么？