Я использую express.js и github.com / expressjs / csurf .
Я также использую SPA (React, Vue).
csurf создает файл cookie только с salt (или использует файл cookie сеанса для хранения соли), но он не создает файл cookie для token.
Так что я нигде не могу найти токен для моих конечных точек POST.
ЧТО ДЕЛАТЬ:
Я ошибаюсь, если я создаю cookie с токеном (при каждом запросе и с использованием req.csrfToken()) и использую его с моим клиентом (читающим cookie) в качестве значения для заголовка запроса (например: "X-CSRF- ЗНАК ")
Это проблема безопасности? Это оптимально?