HttpOnly cookie и XSRF-TOKEN в угловых js

У меня есть угловое js веб-приложение с игровой платформой на стороне сервера. Я использую кнопку входа Google plus для аутентификации пользователей. Мне нужно проверить подлинность всех моих вызовов ajax на стороне сервера. После просмотра документации, доступной в сети, у меня есть пара вариантов и вопросов по каждому.

Точка подключения: при входе в Javascript Google, при успешном входе в систему, вызывает метод javascript. Идентификатор id_token, который возвращается вместе с обратным вызовом, должен быть снова проверен на стороне сервера, как рекомендовано здесь. Таким образом, вышеупомянутые опции могут быть добавлены в этот момент при вызове на стороне сервера.

1. Используйте HttpOnly cookie и проверяйте его при каждом вызове ajax. Можем ли мы быть уверены, что это также предотвратит атаки CSRF?
2. Установите файл cookie XSRF-TOKEN, однако он должен быть установлен как HttpOnly = false. Только тогда angular js сможет прочитать его и установить в качестве заголовка X-XSRF-TOKEN во всех исходящих запросах. Безопасно ли открывать читаемый javascript cookie и позже полагаться на его безопасность?