Nelle loro linee guida per proteggere la tua applicazione dagli attacchi CSRF, OWASP consiglia due distinti controlli:
1. Check standard headers to verify the request is same origin
2. AND Check CSRF token
Questa domanda chiede se è sufficiente controllare le intestazioni senza avere un token. Mi chiedo il contrario - è sufficiente creare e controllare un token CSRF crittografato senza controllare le intestazioni?