ASP.NET Core 11 Preview 6 activa la protección CSRF automática
Preview 6 rechaza por defecto las solicitudes entre orígenes no seguras del navegador, leyendo el encabezado Sec-Fetch-Site en lugar de un token antiforgery. Esto es lo que bloquea y cómo excluir endpoints.