当没有经过身份验证的用户时是否需要 CSRF 保护？

Question

我们使用asp.net core和IdentityServer4开发了一个OpenId Connect服务器，并使用asp.net框架提供的跨站点请求伪造（CSRF）保护。

目前，我们向控制器添加了 [AutoValidateAntiforgeryToken] 属性，这为控制器内的所有 POST 端点添加了 CSRF 保护。

我知道在这些情况下需要 CSRF 保护：

• 对经过身份验证的用户的状态更改请求（因为浏览器可以自动将身份验证 cookie 添加到请求中）
• 提交登录用户的表单（以防止登录 CSRF）

但这是否会导致任何问题？对未经身份验证的用户使用的以下 POST 端点进行 CSRF 保护是否有意义？

• 忘记密码（提交应收到密码重置电子邮件的用户的用户名或电子邮件）
• 密码重置（提交新密码）
• 新用户注册
• 用户激活（提交密码和可能的其他个人数据）

Answer 1

您尝试解决的问题是帮助服务器确定您收到的 POST 请求是否来自我生成的表单，而不是来自某个随机的黑客。

例如，如果黑客只是向您的“密码重置（提交新密码）”发送大量垃圾邮件请求，那么您的系统将开始发送大量密码重置电子邮件。因此，通过添加 CSRF，那些没有正确令牌的请求甚至不会执行。

因此，我会将其添加到您列出的所有端点中。例如，这也使得机器人更难尝试创建虚假帐户。