WebAPIのCSRF対策

HogeHoge

Cookieベースの認証とかの場合にX-Requested-Withをつけるようなアイデアがあったのですが、
認証して利用するAPIだったらAuthorizationヘッダーをつけるようにすればそれでOKだよね。
Microsoft Graphもこのタイプ。

https://leastprivilege.com/2015/04/01/implicit-vs-explicit-authentication-in-browser-based-applications/