Sto leggendo attraverso openid connect document ATM e dice:
Put into a browser cookie the ID token can be used to implement lightweight stateless sessions.
IIUC vogliamo evitare di usare i cookie per evitare gli attacchi CSRF, dal momento che il browser invierà il cookie con tutte le richieste e se l'utente carica un'immagine (mentre ha effettuato l'accesso a notsosecurebank.com) con l'URL:
href="http://notsosecurebank.com/transfer.do?acct=AttackerA&amount;=$100">Read more!
Il browser invierà il token di accesso (Poiché si tratta di un cookie) e questo consente l'attacco.
Se il token è in memoria nella sessione o nella memoria locale e viene inviato solo tramite richieste REST / XHR, non è possibile che CSRF si verifichi? Ho capito bene?