Mi pregunta es sobre paypals csrf sin estado: enlace
Esta solución csrf obliga al usuario a poner el token en el encabezado. ¿Hay alguna razón de seguridad por la cual el token debería estar en el encabezado?
Si los datos solicitados en la solicitud ajax debían redirigirse, ¿cómo llevaría los encabezados a la redirección (en expreso)? Esto está relacionado de alguna manera con: ¿Cómo redirecciono en expressjs? ¿Mientras se pasa algo de contexto? y Cómo pasar encabezados mientras se hace res.redirect en express js . En esta segunda publicación hay un comentario 'a partir de 2017, que establece los encabezados antes de que una redirección no funcione en el nodo'.
¿Esto podría significar que la solución de csrf sin estado de Paypal no es compatible con Express?