Я сопровождающий клиента Altair GraphQL . В зависимости от того, как вы решите использовать Altair (с расширениями браузера или с настольными приложениями), может оказаться возможным обойти защиту CORS. По умолчанию расширения браузера не следуют защите CORS и могут выполнять запросы с той же политикой происхождения. Если вы используете настольные приложения, вы можете установить заголовок Origin, чтобы запросы отображались как исходящие из того же источника.
Что касается защиты на основе токенов CSRF, один из методов, которые вы можете использовать для ее решения необходимо использовать сценарии предварительного запроса , как описано в этой статье: https://sirmuel.design/pre-requests-now-available-in-altair-graphql-client-c3b28892059c.