Ho una pagina web che fornirà un oggetto JSON di un topi-token se viene fornito un cookie di sessione valido di un utente connesso. Se un utente malintenzionato ottiene questo topi-token, ora ha il pieno controllo su quell'utente fino alle autorizzazioni specificate. La richiesta di generare il topi-token viene effettuata tramite una richiesta AET GET sullo stesso dominio.
Di default CORS sta bloccando le richieste cross site. Ho letto che non dovrei affidarmi a CORS solo per la protezione CSRF. Ma i meccanismi di protezione CSRF non sembrano applicarsi qui perché è una richiesta GET che fornisce i dati sensibili.
Quindi, se un utente malintenzionato ottiene un altro cookie per gli utenti (ad esempio: XSS da un altro dominio per ottenere un cookie degli utenti) e voglio impedire che sia in grado di recuperare il token-token di quella persona usando detto cookie rubato. Quali sono le mie opzioni? Ci sono precauzioni aggiuntive che dovrei prendere per proteggere questo topi-token dato il suo meccanismo di autenticazione?