Пока у вас нет широко открытого файла crossdomain.xml (у вас может быть этот б / к, вы размещаете на своем сайте флэш-контент?) Или у ваших посетителей старые браузеры; Вы должны быть в безопасности. Хотя я бы порекомендовал использовать маркер "crumb" (случайное значение в cookie и то же значение в запросах). Эта флэш-память может установить X-Requested-With, и я думаю, что старые версии IE позволяют вам делать то же самое (хотя и не уверен в этом).
С "могу ли я просто пропустить проверку CSRF", я полагаю, вы ссылаетесь на эту крошку / токен? Проверка B / c X-Requested-With - это способ проверки по CSRF.
Поскольку этот заголовок является необязательным, браузеры могут не всегда отправлять его, и согласно этой странице они, похоже, не делают этого по SSL.