Attualmente, la mia architettura come segue.
- L'API è pubblicata da
api.domain.com
. - L'applicazione di front end è pubblicata da
frontend.domain.com
.
Sto prendendo in considerazione due metodi diversi per la protezione CSRF:
- Lasciando che il frontend acquisisca un token CSRF effettuando una richiesta a
api.domain.com/getCSRF
dopo averlo caricato per la prima volta. - Abilita CORS sul mio
api.domain.com
e consenti solo la richiesta dafrontend.domain.com
.
Ho trovato un sito Web importante utilizzando il mio primo approccio per ottenere il token CSRF, ma non penso che sia un buon approccio. Quale dei miei metodi è migliore per la protezione CSRF?