Tengo una aplicación web de django que sirve puntos finales api y una aplicación web javascript que se comunica con esos puntos a través de ajax.
Están bajo el mismo dominio pero en diferentes puertos.
api del servidor ---- www.ejemplo.com:9000/api/endpoints
aplicación web ---- www.example.com:9001
Ahora, guardamos dos tipos de cookies.
user-session-cookie # autentica al usuario. secure = True, http = True
csrftoken # secure = True
Me pregunto en general, ¿esta implementación es segura? ¿En qué circunstancias el sitio no es seguro?
No marco csrftoken http = True porque la aplicación javascript necesita obtener el csrftoken para enviar solicitudes. Sin embargo, estoy exponiendo el csrftoken a un ataque XSS. ¿Hay alguna forma en que pueda evitar que csrftoekn ataque XSS?