CSRF в запросах Ajax

Question

Как я знаю, политика одинакового происхождения заставляет запрос Ajax выдаваться только домену, в который был загружен сценарий. Мое приложение не делает запрос на перекрестный домен ajax. Так все мои запросы ajax безопасны от CSRF? или Мне нужно использовать некоторый токен для тех же самых Ajax-запросов происхождения?

Answer 1

CSRF также полезен в запросе AJAX, любой желающий может получить доступ к доменному пути AJAX с другим способом, например CURL, так что лучше, чтобы добавить CSRF маркер, чтобы предотвратить доступ, он также хорош в запросе AJAX даже запрос крест происхождения заблокирован