OWASP CSRF Prevention cheatsheet parla di due mitigazioni popolari per CSRF - Origin / Referrer controllo dell'intestazione e basato sul token.
Ci sono problemi legati alla mitigazione basata sul controllo dell'origine / referrer che potrebbe essere stata catturata dall'attenuazione basata su token e viceversa? Sto solo cercando di capire se abbiamo bisogno di impiegarli entrambi nelle nostre applicazioni. Vorrei implementarle entrambe se ognuna di esse ha qualche inconveniente che potrebbe essere stata catturata dall'altra (se non c'è nulla in quanto tale - vorrei selezionarne solo una per ora e considerare l'aggiunta di altre difese in misura di profondità in un secondo momento)