Ho sentito che le tecniche di prevenzione CSRF non sono naturali per le API Web.
Ad esempio, potremmo avere un'applicazione client su domainA che implementa sia il il Pattern token di sincronizzazione che il Cookie-to -Disegno della persona . Quando i client POST al server di risorse al dominio B, il server di risorse deve convalidare tali valori di sicurezza e poiché il server di risorse non saprebbe quale valore di token di sincronizzazione né quale valore di cookie-to-header deve aspettarsi, avrà difficoltà convalidare quelli.
Detto questo, il server delle risorse potrebbe convalidare il token di sincronizzazione e / o il valore da cookie a header usando la stessa tecnica che usa per convalidare il token di accesso. Detto questo, perché queste due tecniche sono considerate inappropriate per un'API Web?