La mia domanda è sulla soluzione stateless csrf paypals: link
Questa soluzione csrf obbliga l'utente a inserire il token nell'intestazione. C'è un motivo di sicurezza per cui il token dovrebbe essere nell'intestazione?
Se i dati richiesti nella richiesta Ajax dovessero essere reindirizzati, come porterei le intestazioni sul reindirizzamento (espresso). Questo è in qualche modo correlato a: Come faccio a reindirizzare in expressjs passando qualche contesto? e Come passare le intestazioni mentre si fa res.redirect in express js . In questo secondo post c'è un commento 'a partire dal 2017, l'impostazione delle intestazioni prima che un reindirizzamento non funzioni nel nodo'.
Potrebbe significare che la soluzione csrf stateless di Paypal non è compatibile con express?