Capisco che i token anti-CSRF siano una porzione di dati inviati nella risposta che ci si aspetta corrispondano nelle richieste successive, ma non sono memorizzati nei cookie. Ad esempio, un modulo con un valore nascosto che deve essere incluso prima di intraprendere un'azione sull'invio.
Lo svantaggio di questo è che tutte le app e i programmatori devono ricordare di includere questo token extra.
Vedo una soluzione alternativa che consente alle singole app di richiedere solo il POST per le modifiche ai dati e il loro lavoro è fatto.
Per far sì che tutto funzioni, richiediamo semplicemente a tutte le richieste POST di avere un Referente dello stesso sito.
(non un sito non affidabile, non un sito non https e non un referente vuoto)
Questa soluzione è una sostituzione completa per i token anti-CSRF?