Почему при работе с Ajax отключают/не используют CSRF?

Question

[Quber]

Часто встречаю большинство примеров, когда при работе с Ajax не используется/отключается CSRF намеренно, но не объясняется почему. Собственно вопрос, почему? Потому что так удобнее работать и CSRF не создаёт много проблем или же в ней отпадает необходимость? Разве отключение CSRF при работе с Ajax не уменьшает уровень безопасности или я ошибаюсь?

Answer 1

[DevMan]

Потому что криворуки и не знают как подружить ajax и csrf-токен, других причин я не вижу.

Comments

[Quber]

Спасибо за разъяснение. Я думал, что может я чего то не понимаю.

Answer 2

[Вячеслав Барсуков]

Потому что сервер не знает какой запрос ждать.

Comments

[Quber]

Не совсем понял. Как это не знает?
Если сервер ожидает запрос по определённому URL, то как он собственно может не знать если он его там ждёт?)

[Вячеслав Барсуков]

Нормальный человек додуматься добавить в Ajax csrf токен. Ленивый не захочет заморачиваться, потому серверу шлют кто и что попало.
Бывает что нужно отправлять запросы с приложения.
Короче не слушай ты таких, кто то верует идти по простому пути.