In che modo l'invio di intestazioni HTTP di referrer protegge dagli attacchi CSRF?
Ho provato ad accedere a un sito HTTPS con Firefox network.http.sendRefererHeader impostato su 0 (cioè, completamente disabilitato, come misura contro il tracciamento), e ha detto:
Forbidden (403)
CSRF verification failed. Request aborted.
You are seeing this message because this HTTPS site requires a 'Referer header' to be sent by your Web browser, but none was sent. This header is required for security reasons, to ensure that your browser is not being hijacked by third parties.
If you have configured your browser to disable 'Referer' headers, please re-enable them, at least for this site, or for HTTPS connections, or for 'same-origin' requests.
In che modo ciò impedirebbe gli attacchi CRSF? L'autore dell'attacco non può semplicemente falsificare l'intestazione del referrer, rendendolo simile a quello che avrei inviato?