У меня есть статический веб-сайт, обслуживаемый CDN, который взаимодействует с API через AJAX. Как защититься от CSRF?
Поскольку у меня нет контроля над тем, как обслуживается статический веб-сайт, я не могу генерировать токен CSRF, когда кто-то загружает мой статический веб-сайт (и вставляет токен в формы или отправляет его с моими запросами AJAX). Я мог бы создать конечную точку GET
для получения токена, но похоже, что злоумышленник может просто получить доступ к этой конечной точке и использовать предоставленный ею токен?
Есть ли эффективный способ предотвратить CSRF с помощью этого стека?
Дополнительные детали: аутентификация здесь совершенно отдельная. Некоторые API-запросы, для которых я хочу защитить CSRF, являются аутентифицированными конечными точками, а некоторые — публичными POST-запросами (но я хочу подтвердить, что они исходят с моего сайта, а не с чьего-то другого)