标签: angular asp.net-core jwt
我一直在研究JWT和防伪令牌,并且发现了Microsoft的this文章,其中指出在JWT中不需要进行防伪验证。
这是正确的还是我理解错误?
我正在使用Webapi和JWT开发Angle 6应用程序
答案 0 :(得分:3)
Antiforgery令牌可防止基于cookie的CSRF攻击。
只要您的JWT是手动附加到所选请求的(不同于浏览器中附加到每个请求的cookie),CSRF就不再可用。
因此,答案是:对于未通过cookie发送的令牌,它是正确的。