Capisco che un'intestazione sia la soluzione "più pulita" per trasportare un token di autenticazione da un sistema fidato a un altro in una chiamata REST. Ma quando ti trovi nel codice JavaScript lato client, il mondo mi sembra diverso.
I cookie possono essere contrassegnati come "solo http" e quindi non possono essere facilmente rubati da JavaScript. Anche l'intestazione deve essere impostata da JavaScript, quindi il token di autenticazione deve essere accessibile da JavaScript. Tuttavia, le persone utilizzano le intestazioni auth per inviare i loro token di autenticazione da un client JavaScript non affidabile al server.
Che cosa è cambiato dal buon vecchio "usa i cookie con flag solo http e solo" per "lasciare che JavaScript gestisca il token di autenticazione"? O dovrebbe essere il modo giusto di essere "sul lato client, utilizzare i cookie e non appena si entra nel mondo fidato, passare a auth-header"?
PS: So che ci sono molte risposte a domande simili, ma penso che le mie domande siano da un altro punto di vista "cosa è cambiato, è diverso".