Su s tym spojene komplikacie ktore musite riesit vo vasej aplikacii. Obcas token pregenerovat, niekto hovori ze pri kazdom requeste ja myslim ze staci per session jeden. Ak ho generujete a osetrujete ako poslat linku kolegovi cez mail? Ako riesit <back button (stary token), ... a kopec dalsich veci a iba zopakujem, vsetko treba riesit aplikacne. CORS policy si nastavite obvykle pri deployment v servri (reverse proxy alebo aplikacny server) a aplikacia samotna nemusi vobec nic riesit.
Hlavní nevýhoda je, že token neřeší ten problém, ale spíš ho obchází. Problém je, že je možné požadavky posílat i z jiných stránek. A token dělá to, že požadavek musí být svázaný se zobrazením stránky, která má požadavek provádět. To ale jde proti principům webu, kdy má být každý zdroj samostatný. Když to tak není, přestávají fungovat tlačítka zpět a vpřed, obnova stránky, odkazy apod.
To zas celkom nie je pravda. Cele presmerovanie na linku fungovat bude. Problem je ked sa 'embeduje/integruje' cast ineho webu na moju stranku co sa da zneuzit na utok.
CORS vam v tom ale efektivne zabrani tiez pretoze z dovodu bezpecnosti sa obvykle nastavuje ze fetch z inej stranky nez mojej je zakazany.
Z pohledu webové stránky je obsah iframe zdroj. Když AJAXem stáhnete do webové stránky HTML, je to také zdroj. (Zdroj je Resource, tedy to „R“ v CORS).
Webová stránka je URL, které je v adresním řádku prohlížeče. To je ta kotva, ke které se kontroluje CORS (je to to „O“ v CORS – Origin). iframe (nebo jiný rámec) to trochu komplikuje a vytváří svůj vlastní origin, ale vůči stránce, uvnitř které je zobrazen, vystupuje jako zdroj.