我计划构建一个前端和后端分离的应用程序(仅使用 ajax 请求)。我不允许跨站点 ajax 请求。我可以通过 ajax 调用生成 csrf 令牌,通过添加像 /csrf 这样的 API 返回如下内容:{csrf: 'token'} 以下网站说我绝对不能这样做:https : //github.com/pillarjs/理解-csrf
确保无法使用 AJAX 访问 CSRF 令牌!不要仅仅为了获取令牌而创建 /csrf 路由,尤其不要在该路由上支持 CORS!
有什么具体原因吗?我理解 CORS 背后的原因 - 这是禁用的,但是通过 ajax 提供 csrf 令牌是否存在任何固有的安全风险?