WapSter, к сожалению даже с флагом http only cookie можно прочитать джаваскриптом с помощью TRACE метода в XmlHttpRequest. Но я так понимаю полностью защитить то что находится на клиенте невозможно... По поводу cors думал, но cors насколько я понимаю опирается на заголовки которые посылает браузер при запросе, их тоже можно подделать. Да и как реализовать защиту cors если планируется в будущем использовать мобильное приложение которое будет получать данные по api?
P.S напишите что нибудь ответом - отмечу как решение
WapSter, токен находится в cookie и отправляется куками а не заголовком. Соответственно на сайте хакера если мой пользователь выполнит запрос то куки успешно прикрепятся к запросу, а сам запрос выполнится
P.S напишите что нибудь ответом - отмечу как решение