Ho un'applicazione web JavaScript che comunica con un'API su un sottodominio diverso. HTML e Javascript sono tutti ospitati in S3.
Un token CSRF convenzionale viene inserito nel corpo della pagina HTML e utilizzato da form
o letto da JavaScript; ma poiché l'HTML è staticamente ospitato, questo non è possibile nel mio caso.
È sicuro richiedere un token CSRF dal server durante l'avvio dell'applicazione con una richiesta AJAX? Il token risultante potrebbe quindi essere allegato come intestazione a tutte le future richieste all'API.
Esiste una soluzione migliore per la protezione dagli attacchi CSRF nella mia architettura?