Cors 和 xsrf 解决不同的问题，在技术上没有关系，只是在概念上。

它们都可以防止来自不受信任的域的使用。

CORS 将不允许域 A 向域中的 api 发出 ajax 请求

XSRF 保护基于 cookie 的身份验证，并且不允许域 A 在域 B 中发布表单。

API 通常不使用第二个选项，因此您很可能根本不需要它。它通常用于 MVC 应用程序。

跨域请求 (CORS)：

CORS 仅适用于浏览器上下文，是一种允许一个源向另一个源发出请求的安全机制。所有浏览器都遵循单一源策略，这意味着默认情况下脚本不能向其他源发出请求 - 但如果服务器提供正确配置的 CORS 标头，则可以选择性地放宽此策略。

有关 CORS 的更多详细信息，请参阅 Enable Cross-Origin Requests (CORS) in ASP.NET Core。

跨站请求伪造 (XSRF/CSRF) 攻击

CSRF 是一种攻击，恶意站点将使用经过身份验证的用户信息（例如身份验证 cookie、身份验证令牌）对 Web 应用程序执行不需要的操作。您可以从Prevent Cross-Site Request Forgery (XSRF/CSRF) attacks in ASP.NET Core查看详细信息。

在我看来，如果你想让应用程序更安全，你可以同时使用它们。

参考：Does a proper CORS setup prevent XSRF?