depende de la versión del XHR, la primera no soporta FileApi por lo tanto no se podía


y sí, la técnica tradicional es hacer un redirect, de esa forma se evita que al recargar se reenvié el form, porque es una petición nueva.

y el usar sesiones es básicamente la forma más simple (por así decirlo) de implementar protección CSRF, es efectiva más no eficiente