Ho un'app web django che serve endpoint api riposanti e un'app web javascript che comunica con questi endpoint tramite ajax.
Sono sotto lo stesso dominio ma in diverse porte.
server api ---- www.example.com:9000/api/endpoints
web app ---- www.example.com:9001
Ora salviamo due tipi di cookie.
user-session-cookie # autentica l'utente. secure = True, http = True
csrftoken # secure = True
Mi chiedo in generale, questa implementazione è sicura? In quale circostanza il sito non è sicuro?
Non contrassegno csrftoken http = True perché l'app javascript deve ottenere il csrftoken per inviare richieste. Tuttavia, sto esponendo csrftoken a un attacco XSS. Posso comunque prevenire csrftoekn dall'attacco XSS?