Lynn «Кофеман»

Во первых, документация: https://developer.mozilla.org/en-US/docs/Glossary/...

Во вторых этот заголовок должен отправлять сервер, так что отправлять его в запросе совершенно бессмысленно.

Потому что не нужно бездумно использовать стрелочные функции где попало.

https://learn.javascript.ru/arrow-functions#u-stre...

Читать до просветления phpfaq.ru/newbie/na_tanke#js

Вангую, что первый код пуляет сразу все запросы и серверу это не нравится и какую-то часть он не обрабатывает.
Второй код отправляет запросы по очереди.

Потому что нумерация с нуля

Я сто лет не писал на плюсах, но даже мне очевидно, что файла нет, т.к. ищите файлы вы по абсолютному пути, а удаляете только по имени и в текущем каталоге таких файлов нет.

Отключить адблок, очевидно.

Не использовать в именах и адресах слова напоминающие рекламные типа ad, banner и т.п.

Не использовать картинки стандарных баннерных размеров

Эм? А чего ты ожидал?

И вообще, физический доступ к компу это ни разу не «легко» с точки зрения информационной безопасности.

UPD: Официальная позиция Chrome. Вполне применима к любым другим браузерам и вообще приложениям.
https://dev.chromium.org/Home/chromium-security/se...

Why aren't physically-local attacks in Chrome's threat model?
[...]

We consider these attacks outside Chrome's threat model, because there is no way for Chrome (or any application) to defend against a malicious user who has managed to log into your computer as you, or who can run software with the privileges of your operating system user account.

Странная документация. Класть csrf-токен в куку вообще бессмысленное действие. Весь его смысл в том, что бы атакующий не мог его отправит на ваш сервер, а тут браузер услужливо отправит его сам.

UPD: Хотя если эта кука используется только как хранилище, то в принципе так можно.