Se il mio sito risponde solo a richieste provenienti dal proprio dominio, ha senso implementare token CSRF sulle mie richieste?
Credo che sia il Cross-Site in CSRF a indurmi a porre questa domanda.
Se le richieste cross-site vengono semplicemente ignorate, il token CSRF Anti-Frogery aggiunge alcun valore?
Il messaggio di richiesta di cross-site è per definizione una richiesta cross-site. Se le richieste cross-site non vengono accettate dalla tua applicazione (cioè tutto nello stesso sito), ovviamente CSRF non è un problema. Ma assicurati di controllare correttamente se questa richiesta è in realtà una richiesta per lo stesso sito. Ciò significa in particolare che non devi consentire le intestazioni di Referer vuote perché queste possono essere create da richieste cross-site e che non dovresti controllare l'intestazione di Referer con un'espressione regolare eccessivamente permissiva.
Leggi altre domande sui tag web-application csrf