Tengo una aplicación web escrita en js que se ejecuta en AWS S3. No hay manera de inicializar un token CSRF seguro en la carga de la página, ya que no hay un servidor de fondo. El token se debe recuperar a través de una llamada AJAX a mi servidor API en un dominio diferente. La política de API CORS se incluye en la lista blanca para aceptar solicitudes de la aplicación js.
¿El token CSRF solicitado a través de ajax es seguro? ¿No pueden ser falsificados los encabezados de origen por alguien que quiera obtener un token CSRF válido? (El token es generado por Laravel)