XHR2 送信側 JS: var xhr2 = new XMLHttpRequest(); xhr2.open("GET", "https://api.example.jp/xhr/"); xhr2.setRequestHeader("X-CSRF-Token", "r4nd0MStr1ng"); xhr2.withCredentials = "true"; xhr2.send 同一OriginでもXSSが無いとも限らないから付けと…