IdentityServer4의 CSRF 보호

Question

IdentityServer4는 즉시 사용 가능한 CSRF 보호 기능을 갖추고 있습니까? 아니면 활성화/강화하기 위해 IdentityServer4를 구성해야합니까? 나는 "state"값이 /connect/authorize과 /signin-oidc 사이에서 전달 된 것을 보았습니다. 그러나 충분하다고 확신하지는 않습니다. 동의 페이지 (내부 응용 프로그램) 및 ASP.NET MVC OIDC가 중요한 경우 하이브리드 흐름을 사용하고 있습니다.

Answer 1

spec에서 요구하는대로 - IdentityServer는 상태 매개 변수를 반향 출력합니다.

실제 보호는 클라이언트 라이브러리의 로직에서 발생합니다. Microsoft OIDC 미들웨어 (이는 보호 됨)입니다.

자신 만의 클라이언트 라이브러리를 작성하려면 직접 논리를 작성해야합니다.