2018-07-01 WebAPIのCSRF対策 HogeHoge Cookieベースの認証とかの場合にX-Requested-Withをつけるようなアイデアがあったのですが、 認証して利用するAPIだったらAuthorizationヘッダーをつけるようにすればそれでOKだよね。 Microsoft Graphもこのタイプ。https://leastprivilege.com/2015/04/01/implicit-vs-explicit-authentication-in-browser-based-applications/