Wie der Betreff schon erahnen lässt, interessiert es mich ob es notwendig ist Requests die via AJAX gesendet werden, gegen CSRF zu schützen. Die Django Doku gibt an, das es nicht notwendig sei:
Auch unter stackoverflow wurde darüber diskutiert und ist nach etwas hin und her ebenfalls zum Schluss gekommen, dass eine Absicherung gegen CSRF nicht notwendig sei. Ich persönlich würde jetzt auch mal behaupten, das Requests via AJAX (relativ) sicher sind. Natürlich, wenn die Seite nicht auch noch eine XSS-Schwäche aufweist...Django Dokumentation hat geschrieben:...We can do this safely because, in the context of a browser, the header can only be added by using XMLHttpRequest, and browsers already implement a same-domain policy for XMLHttpRequest....
Wie geht ihr vor? Sichert ihr eure AJAX-Requests mit einem csrf-token ab?
Freundliche Grüße