Не проверять csrf токен при ajax?

Question

[WebDev]

В проекте все POST запросы проверяются на csrf токен для того, чтобы запрос нельзя было послать из вне.
Какие появляются риски, если отключить эту проверку для ajax запросов? Ведь сервер и так не отдаст контент по ajax, злоумышленник увидит ошибку "No 'Access-Control-Allow-Origin' header".
В чем опасность?

Comments

[Дмитрий Александрович]

А что мешает всегда отдавать csrf токен при ajax? если вы о Django или другом фрэймворке который умеет кушать работать csrf куки https://docs.djangoproject.com/en/1.9/ref/csrf/#ajax

[WebDev]

RoxT: Зачем его отдавать, если ajax и так безопасен. Ведь никто не сможет отправить ajax запрос, если я с сервера не дам доступ ему?

[Дмитрий Александрович]

kirill-93: а почему я не могу подделать заголовки? softwaremaniacs.org/blog/2007/09/12/http-ajax-%D0%... тут вроде подробненько расписано чем отличается ajax от не ajax

[WebDev]

RoxT: Спасибо, прочту

Answer 1

[Serge K]

Csrf гарантирует обработку именно отправленной формы. Т.е. частично исключает подделку запроса.
Как вариант можно взять за основу другой формат подписи post