У меня есть некоторые контроллеры, которые возвращают JSON и предназначены для того, чтобы их атаковали только запросы XHR. Должен ли я ловить и перенаправлять запросы без XHR?Должен ли я защищать контроллеры ajax только от полных запросов?
Это вопрос о стиле и презентации, а не о технологиях.
Должен ли я ловушки и перенаправлять запросы, не связанные с XHR?
Вы не можете быть на 100% уверены в том, что запрос, отличный от XHR, действительно один. Самый распространенный способ рассказать о различиях - это нестандартный заголовок x-requested-with, который можно легко подделать/установить любым HTTP-клиентом, поэтому я бы не стал беспокоиться, если только не полезно различать типы запросов в контексте ваше конкретное приложение.