IdentityServer4 中的 CSRF 保护
CSRF protection in IdentityServer4
IdentityServer4 是否具有开箱即用的 CSRF 保护,或者我们是否需要为它配置任何东西 enable/strengten?我已经看到“state
”值在 /connect/authorize
和 /signin-oidc
之间传递,但我不确定它是否足够。我们正在使用没有同意页面(内部应用程序)和 ASP.NET MVC OIDC(如果重要的话)的混合流。
根据规范要求 - IdentityServer 回显状态参数。
真正的保护发生在客户端库的逻辑中——例如Microsoft OIDC 中间件(受保护)。
如果您要构建自己的客户端库,则必须自己构建该逻辑。
IdentityServer4 是否具有开箱即用的 CSRF 保护,或者我们是否需要为它配置任何东西 enable/strengten?我已经看到“state
”值在 /connect/authorize
和 /signin-oidc
之间传递,但我不确定它是否足够。我们正在使用没有同意页面(内部应用程序)和 ASP.NET MVC OIDC(如果重要的话)的混合流。
根据规范要求 - IdentityServer 回显状态参数。
真正的保护发生在客户端库的逻辑中——例如Microsoft OIDC 中间件(受保护)。
如果您要构建自己的客户端库,则必须自己构建该逻辑。