Можно ли защитить API REST без сохранения состояния от атак XSS и CSRF?
В настоящее время я использую токен JWT, хранящийся в secure / httpOnly cookie, для аутентификации без сохранения состояния.Это должно защитить API от наиболее распространенной атаки XSS: кража файлов cookie с использованием XSS-кода и отправка их злоумышленнику.
Однако это не защищает API от CSRF-атаки, когда злоумышленник может обмануть аутентифицированных.Пользователь должен перейти по ссылке на конкретный вызов веб-API, чтобы запустить транзакцию от имени жертвы.Как я могу защитить API от этой атаки , не вводя состояние на стороне сервера ?
Кроме того, действительно ли уязвимость XSS унаследовала бы атаку типа CSRF в следующем сценарии: Внедренный JavaScript получит CSRFтокен из состояния клиента, DOM или хранилища браузера и подготовьте злонамеренный вызов ajax на сервер.Браузер все равно будет автоматически включать файл cookie httpOnly для того же исходного запроса.Есть ли способ получить защиту от этого, кроме защиты от уязвимости XSS?