我不确定是否必须将 xsrf 中间件附加到我的 ASP.NET Core REST Api 应用程序。我已经通过添加 UseCors() 中间件将我的应用程序管道配置为使用 cors,但仍然不明白这是否足够。
现在我正在同时使用AddAntiforgery和AddCors使用我自己的中间件UseXsrf和微软的UseCors.
user9124444
问问题
198 次
2 回答
0
跨域请求 (CORS):
CORS 仅适用于浏览器上下文,是一种允许一个源向另一个源发出请求的安全机制。所有浏览器都遵循单一来源策略,这意味着默认情况下脚本不能向其他来源发出请求 - 但如果服务器提供正确配置的 CORS 标头,则可以选择性地放宽此策略。
有关 CORS 的更多详细信息,请参阅在 ASP.NET Core 中启用跨域请求 (CORS)。
跨站请求伪造 (XSRF/CSRF) 攻击
CSRF 是一种攻击,恶意站点将使用经过身份验证的用户的信息(如身份验证 cookie、身份验证令牌)在 Web 应用程序上执行不需要的操作。您可以在 ASP.NET Core 中查看防止跨站点请求伪造 (XSRF/CSRF) 攻击的详细信息。
在我看来,如果你想让应用程序更安全,你可以同时使用它们。
于 2021-03-08T02:23:40.283 回答
0
Cors 和 xsrf 解决不同的问题,并且在技术上不相关,仅在概念上相关。
它们都可以防止来自不受信任的域的使用。
CORS 将不允许 domainA 向域中的 api 发出 ajax 请求
XSRF 保护基于 cookie 的身份验证,并且不允许 domainA 在 DomainB 中发布表单。
API 通常不使用第二个选项,因此您很可能根本不需要它。它通常用于 MVC 应用程序。
于 2021-03-06T11:09:35.380 回答