【发布时间】:2021-02-15 09:11:05
【问题描述】:
我有一个基于 ASP.NET Core 3.1 的 REST API。该API会被其他服务器调用,目前没有客户端应用调用该API。
在这种情况下,我需要防伪令牌吗?另外,如果需要,如何在服务器到服务器通信场景中注入防伪令牌?
【问题讨论】:
标签: security asp.net-core-webapi csrf antiforgerytoken websecurity
【发布时间】:2021-02-15 09:11:05
【问题描述】:
这是一个关于 csrf 的offical document。
一个 CSRF 令牌是基于 Http Session 生成的。如果你的 API 端点依赖于 cookie /或某种机制来重新建立会话。你需要防止 CSRF 攻击。在官方链接中,你可以看到 CSRF 攻击的示例,它包含一个身份验证 cookie。
【讨论】:
-
我认为这说明了这一点。谢谢!