针对在 AWS Lambda / API Gateway 中运行的无服务器 .NET Web API 的 CSRF/XSRF 保护

Question

我们希望将 .NET Web API 项目作为托管在 API Gateway 后面的 AWS Lambda 中的无服务器应用程序运行[遵循如下方法：https://aws.amazon.com/blogs/developer/deploy-an-existing-asp-net -core-web-api-to-aws-lambda/]。

对于需要使用 JWT 在 API 上进行身份验证的应用程序，我们一直在研究在本地存储中存储 JWT 的方法，以及在与 API 通信的前端 SPA 中存储 cookie 的方法。

使用 cookie 存储 JWT（特别是 AccessToken）的一大警告似乎是 XSRF/CSRF 攻击的可能性。对于服务器端渲染应用程序，使用嵌入 html 有效负载的防伪令牌似乎有助于减轻这种风险。然而，对于 SPA 和我们在 Lambda 中运行的 Web API，每个客户端请求都可能由任何当前正在执行的 Lambda 上下文（或者如果需要的话启动一个新的上下文）处理，这似乎很难实现，因为不会有持久的客户端请求/服务器响应之间的状态。

似乎根据用户访问令牌中找到的范围生成类似的临时秘密可能是在无状态环境中处理此问题的一种方法。然而，对于与安全相关的一切，滚动你的总是似乎是一个糟糕的主意。

我的问题是，是否有任何已知的包/库或方法适用于此类用例，可以帮助缓解在分布式无服务器环境（例如 AWS Lambda）中运行的 .NET 的 CSRF/XSRF。或者是使用本地存储的推荐方法？