Estoy creando una protección CSRF en mi aplicación, y me pregunto cuál es la mejor (o mejor dicho, la forma menos segura) de transmitir mi token CSRF. La aplicación aplica HTTPS, con TLS1.2.
Cuando genero el token en el lado del servidor, necesito enviarlo de vuelta al lado del cliente (pila AngularJS). No puedo usar una cookie porque todas están obligadas a ser seguras y HttpOnly (tan ilegibles para AngularJS). Así que me quedo con configurarlo en un encabezado de respuesta, o en la respuesta del cuerpo.
Lo mismo cuando el cliente enviará una nueva solicitud y deberá proporcionar el token para verificación. En el encabezado de la solicitud? ¿Como parámetro de cuerpo (pero esto es un poco problemático, ya que cambiaría la gramática de todas las solicitudes)?
TL; DR: ¿Puedo simplemente proporcionar el token en la respuesta del encabezado del servidor al cliente y en el encabezado de la solicitud del cliente al servidor?
Gracias