Tengo una API REST que se ejecuta en un dominio y tengo un cliente en otro dominio. Para evitar CSRF, he configurado la API REST para aceptar la solicitud originada solo desde la aplicación cliente. He añadido la codificación adecuada según la hoja de trucos de prevención XSS de owasp para evitar cualquier ataque XSS en mi aplicación. ¿Puedo decir que mi API REST está a salvo de un ataque CSRF? ¿Incluso necesito un token de sincronizador para hacer que mi API sea segura?
De acuerdo con mi comprensión de CSRF o XSS, el ataque puede llevar a un ataque de CSRF, ya que estoy evitando que ambos sean vulnerables a CSRF.