我有一个基于ASP.NET Core 3.1的REST API。该API将由其他服务器调用,当前没有客户端应用程序调用此API。
在这种情况下,我需要防伪令牌吗?另外,如果需要的话,如何在服务器到服务器的通信场景中注入防伪令牌?
答案 0 :(得分:3)
这是关于csrf的offical document。
基于Http会话生成CSRF令牌。如果您的API端点依赖于cookie或某种机制来重新建立会话,则需要防止CSRF攻击。在官方链接中,您可以看到CSRF攻击的示例,其中包括身份验证cookie。