Estoy investigando CSRF y una cosa en la lista, creo que es cuestionable. No estoy seguro de si vale la pena "verificar el referente" o no.
Algunos artículos que leí, dicen algo de esta naturaleza:
Sin embargo, esto es riesgoso, ya que algunos proxies corporativos eliminan la referencia de todas las solicitudes HTTP como una función de anonimización. Usted terminaría potencialmente bloqueando usuarios legítimos.
Otros artículos que estoy leyendo dicen que debes hacerlo y considerar un referente vacío como un ataque.
Mi sitio web sí trata con múltiples corporaciones y si es cierto que un proxy de corporaciones puede omitir el referente, entonces creo que es un problema, entonces un beneficio real para el sitio web.