Quindi ho sviluppato un'applicazione web, che ha anche un'API.
L'API supporta sia le richieste GET che POST. L'API è completamente senza stato, significa che nulla viene memorizzato o modificato in un database / file quando lo si utilizza. L'API (attualmente!) Necessita di un cookie di autenticazione da utilizzare.
Questo sistema ha problemi CSRF? Sono abbastanza sicuro che non lo faccia (visto che l'uso dell'API non cambia lo stato lato server), ma volevo assicurarmi ..