У меня есть отдельное одностраничное приложение React, которое связывается с отдельным приложением API для данных.Приложение полностью статично (только HTML, JS, CSS и изображения), за исключением крошечного сервера Express для поддержки защиты CSRF.Приложение содержит формы, которые пользователь заполняет и отправляет (отправка происходит через HTTP-запрос).
Я бы очень хотел отойти от прямой зависимости от облачного сервера и перейти на хостинг исключительно с S3 + Cloudfront.Это полностью выполнимо, так как все ресурсы являются статическими, и я могу сделать недействительным index.html при развертывании.Мое единственное зависание - защита CSRF.
В настоящее время я полагаюсь на экспресс-сеанс Redis вместе с файлом cookie сеанса.Маркер CSRF внедряется в индексированный маршрут на стороне сервера, который загружает клиентское приложение React.
Существует ли безопасный (такой же безопасный, как сейчас) реальный способ иметь чистый статический сайт с CSRFслужба поддержки?Приложение будет иметь полный доступ к отдельной службе API.