Considera un'app sviluppata che utilizza qualcosa come la libreria OWASP CSRFGuard. Cosa si può fare per proteggere da XSS se l'app chiama un'app di black box di terze parti che non ha modo di archiviare e restituire il token quando il controllo viene trasferito alla tua app? Potrei non avere alcun controllo sull'invio dei cookie tramite l'app Black Box. L'URL sul ritorno potrebbe includere un parametro statico noto solo al server, ma non sembra un approccio solido. Qualche soluzione migliore?