Если сервер принимает межсайтовые XHTMLRequests (access-control-allow-origin), разве сервер не должен обеспечивать защиту от подделки межсайтовых запросов (CSRF)?
Это зависит. Вообще говоря, если запрос вызывает постоянные изменения и вы не хотите, чтобы люди произвольно вызывали изменения, настоятельно рекомендуется защита CSRF.
Сервер не должен применять это, но приложение должно всякий раз, когда оно выполняет критические операции, выполненные с помощью запроса, не подтвержденного человеком (т.е. CAPTCHA).
Да.Вы должны всегда защищать от CSRF вообще.