Использую в данный момент библиотеку 'csurf' внутри связки Nest+Next.
В документации есть такой пример
app.use(cookieParser())
app.use(csrf({ cookie: true }))
При подобном способе при первом запросе происходит ответ от сервера ввиде
set-cookie: _csrf=tT_oDy39L-XZkVESH0LAA140; Path=/
При закрытии вкладки, дублировании и т.д. и т.п. данная кука сохраняется.
Она является доступной из JS, я так понимаю, чтобы была возможность потом впихнуть её в заголовки.
csrf-token
Только вот насколько это безопасно? Есть ли возможность со стороннего сайта получить ответ от подобного рода формы? Т.к. тот же JWT токен, если хранить его в cookie предлагают подкреплять запросы CSRF токеном, который, предположительно, не должен быть в cookie, чтобы при запросе на атакуемый сайт результатом стал код ответа с запретом доступа из-за невалидного или отсутствующего csrf-токена.
