ASP.NET Core 11 Preview 6 ativa a proteção CSRF automática
O Preview 6 rejeita por padrão as requisições entre origens não seguras do navegador, lendo o cabeçalho Sec-Fetch-Site em vez de um token antiforgery. Veja o que ele bloqueia e como excluir endpoints.