J’ai trouvé la solution au problème où les connexions sociales (Google, Discord, etc.) échouent avec csrf_detected sur les appareils mobiles, alors qu’elles fonctionnent sur PC.
La cause était dans mon thème :
Un script JavaScript personnalisé dans la section <head> du thème rechargeait constamment la page sur les appareils mobiles (window.location.replace).
Cette redirection forcée détruisait le jeton CSRF temporaire nécessaire à la validation de la session après le rappel de Google/Discord.
Solution :
J’ai supprimé du thème le script entier destiné à forcer l’affichage mobile.
Si vous rencontrez des problèmes similaires et utilisez un thème personnalisé, vérifiez si des scripts qui déclenchent des redirections sont en cours d’exécution. C’était le coupable dans mon cas !