Contesto : il sito angolare è ospitato su S3 dietro CloudFront, separato dal server Express utilizzato come API e quasi tutte le richieste sono XMLHttpRequests. Tutte le richieste vengono inviate senza cookie (con Credentials = false di default) e io uso il token Bearer JWT per l'autenticazione prendendolo dai cookie in angolare e posizionandolo su Authorization
header (Questa tecnica è un po 'come descritto in Cki Wiki pagina ).
Nel sito Express non ammetto l'intestazione Cookie
in Access-Control-Allow-Headers
.
I cookie hanno il flag secure: true
e NON sono httpOnly
perché è necessario accedervi manualmente in modo angolare.
Ho letto anche questo articolo Medium che i token JSON-Web-Tokens (JWT) / Bearer
is without a doubt one of the best methods of preventing CSRF
Domanda 1 : aggiungerò ulteriore sicurezza se aggiungerò l'intestazione X-XSRF-Token ad ogni richiesta e ad esempio rendere il meccanismo stateless controllando lo stesso valore nel carico utile JWT? (Ne ho letto in questo thread )
Domanda 2 : ho davvero bisogno di ulteriori sforzi di sicurezza CSRF riprendendo tutto ciò che ho descritto?