Имеет ли IdentityServer4 защиту CSRF из коробки или нам нужно настроить что-либо, чтобы включить/усилить ее? Я видел, что значение «state
» передается между /connect/authorize
и /signin-oidc
, но я не уверен, достаточно ли этого. Мы используем гибридный поток без страницы согласия (внутреннее приложение) и ASP.NET MVC OIDC, если это важно.Защита CSRF в IdentityServer4
1
A
ответ
2
В соответствии с требованиями спецификации - IdentityServer повторяет параметр состояния.
Реальная защита происходит в логике клиентской библиотеки - например, промежуточное ПО Microsoft OIDC (которое является защищенным).
Если вы создаете свою собственную клиентскую библиотеку, вы должны сами построить эту логику.