IdentityServer4のCSRF保護

Question

IdentityServer4には、すぐにCSRF保護が適用されるのですか、それを有効/強化するために何か設定する必要がありますか？私は/connect/authorizeと/signin-oidcの間を "state"の値が渡されているのを見ましたが、十分かどうかわかりません。重要な場合は、同意ページ（内部アプリケーション）とASP.NET MVC OIDCのないハイブリッドフローを使用しています。

Answer 1

specによって必要とされるように - IdentityServerは状態パラメータを返します。

実際の保護は、クライアントライブラリのロジックで発生します。 Microsoft OIDCミドルウェア（保護されている）

独自のクライアントライブラリを構築する場合は、自分でロジックを構築する必要があります。