Dies ist ein Ausschnitt aus der Datei http.js in dem AngularJS 1.6.4 auf GitHub:Warum wird das XSRF-Token nicht an Ursprungsverweis gesendet?
var xsrfValue = urlIsSameOrigin(config.url)
? $$cookieReader()[config.xsrfCookieName || defaults.xsrfCookieName]
: undefined;
if (xsrfValue) {
reqHeaders[(config.xsrfHeaderName || defaults.xsrfHeaderName)] = xsrfValue;
}
Warum ist die XSRF nur enthalten Token, wenn die Anforderung für den gleichen Ursprung gemeint? Was ist, wenn ein Restful-Backend auf einem anderen Host als das Frontend ist, sollte nicht XSRF trotzdem verwendet werden?