https://gisungcu.tistory.com/415?category=1081268
결론 퍼옴 )
Rest API에서 CSRF를 방어하지 않는 이유는..
(쿠키 없음 = CSRF 없음, REST = 상태 비저장, REST ≠ 쿠키 없음 -> Http only)
즉 Rest API는 state less이기 때문에 csrf를 방어하지 않는다는 것,
단 로그인 등의 정보를 cookie로 관리할 경우 cookie는 Http only로 방어되어야 된다는 것.
즉 cookie가 안전할 경우에만 csrf를 방어하지 않아도 된다는 것입니다.
user정보가 필요하다면 token에서 정보를 얻는 것이 아닌 API콜을 한번 더 해서 얻을 수 있겠습니다.