IdentityServer4 中的 CSRF 保护

CSRF protection in IdentityServer4

IdentityServer4 是否具有开箱即用的 CSRF 保护,或者我们是否需要为它配置任何东西 enable/strengten?我已经看到“state”值在 /connect/authorize/signin-oidc 之间传递,但我不确定它是否足够。我们正在使用没有同意页面(内部应用程序)和 ASP.NET MVC OIDC(如果重要的话)的混合流。

根据规范要求 - IdentityServer 回显状态参数。

真正的保护发生在客户端库的逻辑中——例如Microsoft OIDC 中间件(受保护)。

如果您要构建自己的客户端库,则必须自己构建该逻辑。