【Web API】クロスドメインへのCSRFトークンの渡し方

Web APIでの、クロスドメインへのCSRFトークンの渡し方についての質問です。

Web APIのサーバーとフロントのドメインが違う場合、サーバー側でクッキーにcsrfトークンをセットしても、フロント側で参照できないと思います。

そのため、フロントでcsrfトークンをクッキーから取り出して、ヘッダに付けて送信する。ということができません。

ですので、JSONでcsrfトークンを返すアクセスポイントを作って、そこにアクセスしたフロント側が自分でクッキーにcsrfトークンを保存するようにする。そうしておけばクッキーからcsrfトークンを必要な時に参照できます。
csrfトークンを返すアクセスポイントは、フロントのドメインのみ許可、プリフライトリクエストが送られるようにします。

質問としては、これがセキュリティ上問題ないのか、ということと、他にこういうやり方のほうがいいというのがあれば教えていただきたいです。

調べてみても似たようなことをしている記事が見当たらなかったので、もしかしたらセキュリティ上良くないやり方なのではと思い質問しました。

よろしくお願い致します。