Это интенсивно обсуждается во многих SO-вопросах, но ни один из прочитанных мной ответов не отвечает на два конкретных вопроса, которые у меня есть.
Я пытаюсь определить наилучшую модель аутентификации для частного API DRF со статическимJavaScript React интерфейс.Весь трафик через HTTPS.
Учитывая, что структура URL будет:
https://app.example.com (front end)
https://app.example.com/api/ (API)
Моя конечная точка входа в систему в настоящее время настроена согласно документации DRF для аутентификации токена, какобычные представления на основе классов.
1) Поскольку внешний интерфейс - чистый JavaScript, в настоящее время у меня нет способа справиться с защитой CSRF.Оставляет ли это меня открытой для CSRF или CSS-атаки?
2) Есть ли способ выполнить аутентификацию сеанса или токена с помощью формы входа, созданной в чистом статическом JavaScript?Или мне всегда нужна оболочка на стороне сервера для приложения JavaScript, чтобы правильно обрабатывать риски CSRF / CSS?