Est assez cookie pour CSRF?
Samesite fonctionne en permettant aux navigateurs et aux propriétaires de sites Web de limiter les demandes croisées, le cas échéant, devraient inclure des cookies spécifiques. Cela peut aider à réduire l'exposition des utilisateurs aux attaques du CSRF, ce qui induit le navigateur de la victime à émettre une demande qui déclenche une action nuisible sur le site Web vulnérable.
JWT protège-t-il contre le CSRF?
Si vous mettez votre JWT dans une en-tête, vous n'avez pas à vous soucier du CSRF. Vous devez vous soucier du XSS, cependant. Si quelqu'un peut abuser des XS pour voler votre JWT, cette personne est capable de vous usurper.