Это фрагмент файла http.js в Angularjs 1.6.4 на github:
var xsrfValue = urlIsSameOrigin(config.url)
? $$cookieReader()[config.xsrfCookieName || defaults.xsrfCookieName]
: undefined;
if (xsrfValue) {
reqHeaders[(config.xsrfHeaderName || defaults.xsrfHeaderName)] = xsrfValue;
}
Почему токен XSRF включен только в том случае, если запрос предназначен для того же источника? Что, если серверная часть Restful находится на другом хосте, чем интерфейс, не следует ли тем не менее использовать XSRF?