Sto lavorando su un sito Web PHP interamente basato su AJAX (tramite jQuery). È una singola pagina in cui tutte le richieste sono fatte da AJAX.
In relazione alla protezione contro CSRF ho riscontrato il problema di dover includere manualmente il token su ogni richiesta che faccio, il che è estremamente noioso e scomodo. Alla ricerca di una soluzione alternativa ai token, ho letto su SOP (Same Origin Policy) in relazione alle richieste AJAX. Se l'ho capito bene, xmlhttprequest non è consentito su domini diversi (a meno che non sia abilitato CORS, il che non è il caso).
Quindi, in questo caso, mi chiedo se verificare l'origine della richiesta (tramite HTTP_ORIGIN) e l'intestazione X-Requested-With (per garantire che la richiesta sia una richiesta AJAX), sarebbe sufficiente per impedire Attacchi CSRF. io volevo sapere se c'è qualche token davvero necessario considerando le condizioni di cui sopra.
Grazie mille per il tuo tempo.