Nelle loro linee guida per proteggere la tua applicazione dagli attacchi CSRF, OWASP consiglia due distinti controlli:
1. Check standard headers to verify the request is same origin
2. AND Check CSRF token
Questa domanda chiede se è sufficiente controllare le intestazioni senza avere un token. Mi chiedo il contrario - è sufficiente creare e controllare un token CSRF crittografato senza controllare le intestazioni?
Sì. Questa è la prima volta che vedo qualcuno che consiglia di fare entrambe le cose. Controllare le intestazioni sembra sempre un po 'hacky: l'intestazione Referer non è stata progettata come intestazione di sicurezza (potrebbero esserci casi oscuri in cui non riesce) e non è sempre impostata. In genere consigliamo di utilizzare token e non suggeriamo di controllare l'intestazione "Referer".
Non può fare male fare entrambe le cose se rifiuti quando una delle due condizioni fallisce, ma i token sono sufficienti, supponendo che siano implementati correttamente.
In quanto neolaureato (ho conseguito un MS in I.T. - Cybersecurity) dovrei consigliare di seguire lo standard del settore e controllare sia le intestazioni che il token. Uno degli standard di settore è Pubblicazione speciale NIST 800-63b Vi consiglio di iniziare da lì .
Leggi altre domande sui tag csrf