Sto creando una protezione CSRF sulla mia applicazione e mi sto chiedendo quale sia il modo migliore (o almeno meno sicuro) per trasmettere il mio token CSRF. L'applicazione applica HTTPS, con TLS1.2.
Quando genero il token sul lato server, devo rispedirlo al lato client (stack AngularJS). Non posso usare un cookie perché sono tutti fatti rispettare per essere sicuri e HttpOnly (quindi illeggibili da AngularJS). Quindi sono rimasto con l'impostazione in un'intestazione di risposta, o nella risposta del corpo.
Stessa cosa quando il client invierà una nuova richiesta e dovrà fornire il token per la verifica. Nell'intestazione della richiesta? Come parametro del corpo (ma questo è un po 'problematico in quanto cambierebbe la grammatica di tutte le richieste)?
TL; DR: Posso semplicemente fornire il token nella risposta dell'intestazione per il server al client e nell'intestazione della richiesta per il client sul server?
Grazie