Защита CSRF в IdentityServer4

Question

Имеет ли IdentityServer4 защиту CSRF из коробки или нам нужно настроить что-либо, чтобы включить/усилить ее? Я видел, что значение «state» передается между /connect/authorize и /signin-oidc, но я не уверен, достаточно ли этого. Мы используем гибридный поток без страницы согласия (внутреннее приложение) и ASP.NET MVC OIDC, если это важно.

Answer 1

В соответствии с требованиями спецификации - IdentityServer повторяет параметр состояния.

Реальная защита происходит в логике клиентской библиотеки - например, промежуточное ПО Microsoft OIDC (которое является защищенным).

Если вы создаете свою собственную клиентскую библиотеку, вы должны сами построить эту логику.