Sto lavorando su un'applicazione web che memorizza un token di autenticazione in un cookie.
L'unica protezione CSRF è il controllo dei referrer.
Sto pensando di migliorare questo spostando il token di autenticazione dai cookie a un'intestazione personalizzata, come X-AuthToken.
L'applicazione è un'applicazione a pagina singola creata usando JavaScript.
Credo che questa dovrebbe essere una solida protezione contro gli attacchi CSRF, perché se un sito malvagio costringe un browser degli utenti a fare un POST HTTP, l'intestazione auth non verrà inclusa e la richiesta non riuscirà.
Il token di autenticazione viene generato per ogni sessione.
Ho ragione che ciò offrirebbe protezione CSRF o mi manca qualcosa?