En sus pautas para asegurar su aplicación contra ataques CSRF, OWASP recomienda dos ataques separados cheques:
1. Check standard headers to verify the request is same origin
2. AND Check CSRF token
Esta pregunta pregunta si Basta con comprobar los encabezados sin tener un token. Me pregunto qué es lo contrario: ¿es suficiente crear y verificar un token CSRF encriptado sin verificar los encabezados?
Sí. Esta es la primera vez que veo a alguien recomendando hacer ambas cosas. La verificación de los encabezados siempre se siente un poco intrincada: el encabezado del Referer no fue diseñado como un encabezado de seguridad (puede haber casos oscuros en los que falla) y no siempre se establece. Por lo general, recomendamos el uso de tokens y no sugerimos revisar el encabezado "Referer".
No puede hacer daño hacer ambas cosas si rechazas cuando falla alguna de las condiciones, pero los tokens son suficientes, suponiendo que se implementen correctamente.
Como recién graduado de una escuela de posgrado (tengo una maestría en I.T. - Ciberseguridad) tendría que recomendar seguir el estándar de la industria y verificar tanto los encabezados como el token. Uno de los estándares de la industria es Publicación especial 800-63b de NIST Le recomiendo que comience allí .
Lea otras preguntas en las etiquetas csrf