Я пытаюсь предотвратить атаку CSRF , когда Javascript и нативные клиенты используют один API.
Я мог бы решить эту проблему с помощью пользовательской логики в фильтре AntiXSS, если бы я мог зависеть от Javascript для последовательной установки или пропуска определенных заголовков HTTP.
Существуют ли какие-либо заголовки HTTP, которые не доступны напрямуюJavascript, но устанавливаются браузером, чтобы сервер мог полагаться на то, чтобы отличать нативный клиент от клиента Javascript?