Ho una webapp scritta in js che gira su AWS S3. Non c'è modo di inizializzare un token CSRF sicuro al caricamento della pagina poiché non esiste un server di back-end. Il token deve essere recuperato tramite una chiamata AJAX al mio server API su un dominio diverso. La politica API CORS è autorizzata per accettare richieste dall'applicazione js.
Il token CSRF richiesto tramite ajax è sicuro? Le intestazioni di origine non possono essere falsificate da chiunque voglia ottenere un token CSRF valido? (Il token è generato da Laravel)