角度js中的HttpOnly cookie和XSRF-TOKEN

Question

我有一个带有播放框架作为服务器端的角度js web应用程序。我使用Google plus登录按钮来验证用户身份。我需要在服务器端验证我所有的ajax调用。在浏览了网上提供的文档之后，我有几个选项和问题。

连接点：Javascript Google登录，成功登录后，回调javascript方法。与回调一起返回的id_token需要通过服务器端再次按照建议的here进行验证。因此，此时可以在服务器端调用

上添加上述选项

1. 使用HttpOnly cookie并在每次ajax调用时检查它。我们可以放心，这也可以防止CSRF攻击吗？
2. 设置XSRF-TOKEN cookie，但应将其设置为HttpOnly = false。只有这时，angularjs才能读取它，并在源自它的所有请求中将其设置为X-XSRF-TOKEN标头。暴露一个javascript可读的cookie然后依赖它是否安全是否安全？