En sus pautas para asegurar su aplicación contra ataques CSRF, OWASP recomienda dos ataques separados cheques:
1. Check standard headers to verify the request is same origin
2. AND Check CSRF token
Esta pregunta pregunta si Basta con comprobar los encabezados sin tener un token. Me pregunto qué es lo contrario: ¿es suficiente crear y verificar un token CSRF encriptado sin verificar los encabezados?