Así que he desarrollado una aplicación web, que también tiene una API.
La API admite solicitudes GET y POST. La API es completamente sin estado, significa que nada se almacena o modifica en una base de datos / archivo cuando se usa. La API (¡actualmente!) Necesita una cookie de autenticación para ser utilizada.
¿Este sistema tiene problemas CSRF? Estoy bastante seguro de que no lo hace (ya que el uso de la API no cambia el estado del lado del servidor), pero quería asegurarme ...