Noté que los tokens se usaban en las presentaciones de formularios para evitar ataques CSRF, aunque en 2016 muchas personas se están moviendo a JS frontend & APIs tranquilos. Estoy desconcertado, con este enfoque, ¿ya no hay necesidad de tokens CSRF?
Creo que CSRF es un problema en el envío de formularios ya que todos los datos de la sesión se envían con cada solicitud . ¿Pero es diferente AJAX? Es decir. ¿Todas las cookies (datos de sesión) no se envían?
Puede asumir que mi API está protegida por CORS (sobre TLS), es decir, Access-Control-Allow-Origin está configurado solo para el sitio del que espero que se recopilen los datos.
Entonces, lo que pregunto es: es CORS & ¿Una API de AJAX llama a la forma de evitar la generación de tokens en mi código de usuario?