1. Не все кросс-доменные запросы запрещены. Так называемые Simple Requests разрешены - это GET, POST, HEAD со списком стандартных хедеров. Плюс еще важно чтоб JS не зарегистрировал никаких слушателей на ответ, чтоб ничего вычитать не мог.
2. Именно из-за того что кросс-домены запрещены нам нужен CORS. Он как раз разрешает с других сайтов слать запрос на наш сервер (а нам это, возможно, как раз нужно). Без него позволены только Simple Requests. И вот когда мы разрешили с помощью CORS кросс-доменные запросы, нам нужно побеспокоиться чтоб только определенный набор запросов мог проходить. А остальные защищаются CSRF token'ом. Т.е. мы как бы открыли возможность ходить к нам с чужих ресурсов, но при этом не хотим позволять совсем что угодно делать.
3. Ну и остаются все же Simple Requests которые позволены и без CORS - если мы не хотим их позволять, то надо либо запретить эти Simple Requests (например, требуя доп http header во всех запросах), либо разрешить но при этом использовать CSRF token.
Уж кого-кого, а спринг я никак не воспринимал как авторитет в наименовании security атак :) Надо просто смириться с тем что у этой атаки несколько имен. Кстати на Security SE тэг тоже назван csrf.

Хотя так-то подумать CORS настраиваться достаточно гибко и на каждый ресурс его можно свой настроить. Так что может в CSRF токенах все-таки есть смысл только в случае Simple Requests..

Дак мы по умолчанию установим что никому нельзя. И только в тех исключительных случаях когда можно - будем разрешать с помощью CORS хедеров.

Плюс ко всему на сервере нужно добавить фильтр который требует наличие какого-то кастомного HTTP хедера. Не важно что там будет, но это гарантирует что браузер пошлет preflight запрос чтоб проверить CORS хедеры. От нас он получит запрет (по умолчанию). В JS мы можем централизировано добавить хедер (опять же - не важно что в нем). И таким образом ни один запрос с другого сайта не пройдет.

И если мы никогда не делаем form submission, то все - больше делать ничего не надо. Мы защищены от любого CORS запроса.

Такой подход вот у OWASP описан .

Т.е. в итоге нам CSRF токен нужен только в случае form submission .

Дак не важно что там в этом хедере. Можно просто написать x-check-cors: blah . Нам же не содержимое важно, а наличие - это заставит браузер сделать preflight запрос. И таким образом мы дешево отключаем все cross-origin запросы.

Правда ресурсы которые nginx/apache кеширует все равно можно будет запросить с помощью CSRF (но не вычитать результат!). Но это и не страшно - раз уж мы используем public cache, то ожидаем что кто угодно сможет сделать запрос, даже без привлечения пользователя.

Когда с нашей страницы мы хотим послать запрос на сервер, браузер может перед этим послать еще и OPTIONS запрос. Таким образом он может узнать собсно имеет ли он право сделать запрос который мы его попросили. Ну и узнать там способ аутентификцаии, может еще что. Т.е. на сервер прийдет на самом деле два запроса - OPTIONS, а потом наш основной.

Ну и к нашей теме это относится потому что любой запрос который мы хотим послать на другой домен требует такого вот preflight запроса. Кроме запросов которые подпадают под понятие Simple Requests .