0
我有一個Web API,並通過角度開發的跨域客戶端應用程序調用。我如何保護我的Web API免受CSRF攻擊。如果從跨域客戶端調用CSRF攻擊,如何保護Web API?
我使用基於令牌認證
我通過下面的文章就由麥克·沃森 https://docs.microsoft.com/en-us/aspnet/web-api/overview/security/preventing-cross-site-request-forgery-csrf-attacks
但在上述情況下也客戶端和web API在同一個域中,如果它在不同的域中運行, 我們如何傳遞AntiForgeryToken?
攻擊者也會知道關於這個調用,然後他可以簡單地調用並傳遞這個值與請求權一起嗎? – niknowj
當然,這是可能的。您將不得不使這個端點需要某種類型的身份驗證。 – peco