Я вижу много утверждений о том, что использование файлов cookie в API, подобных REST, является проблемой безопасности.
Правильно ли я понимаю, что HttpOnly предотвращает XSS. Cors предотвращает CSRF от ненадежных доменов. HTTPS защищает от атак мужчин среднего уровня. (Хотя установка безопасной директивы даже лучше, чем простая HTTPS, она устраняет некоторые потенциальные ошибки безопасности на стороне сервера https://security.stackexchange.com/questions/186441/any-reason-not-to-set-all-cookies-to-use-httponly-and-secure)
Есть ли другие известные или потенциальные проблемы с файлами cookie API?
Я знаю, что это может снизить масштабируемость. Но есть ли проблемы с безопасностью? Или, по крайней мере, другие проблемы, чем масштабируемость и соответствие принципам REST?