1
IdentityServer4是否具有开箱即用的CSRF保护功能,还是我们需要配置任何以启用/加强它的功能?我已经看到在/connect/authorize
和/signin-oidc
之间传递的值“state
”,但我不确定是否足够。如果重要的话,我们使用没有同意页面(内部应用程序)和ASP.NET MVC OIDC的混合流。IdentityServer4中的CSRF保护
IdentityServer4是否具有开箱即用的CSRF保护功能,还是我们需要配置任何以启用/加强它的功能?我已经看到在/connect/authorize
和/signin-oidc
之间传递的值“state
”,但我不确定是否足够。如果重要的话,我们使用没有同意页面(内部应用程序)和ASP.NET MVC OIDC的混合流。IdentityServer4中的CSRF保护
按规范要求 - IdentityServer回显状态参数。
真正的保护发生在客户端库的逻辑 - 例如Microsoft OIDC中间件(这是受保护的)。
如果您正在构建自己的客户端库,则必须自己构建该逻辑。