من یک webapp نوشته شده در JS که در AWS S3 اجرا می شود. هیچ راهی برای راه اندازی یک نشانه امن CSRF در بارگذاری صفحه وجود ندارد، زیرا هیچ سرور پشتیبان وجود ندارد. این شناسه باید از طریق یک تماس AJAX به سرور API من در یک دامنه متفاوت بازیابی شود. سیاست API CORS برای ثبت درخواست از برنامه js به لیست سفید اضافه شده است.
آیا علامت CSRF از طریق ajax درخواست می شود؟ آیا کسی که می خواهد یک نشانه معتبر CSRF را بدست آورد، می تواند هدرهای مبدأ را جعل کند؟ (این نشانه توسط لاراول ساخته شده است)
