Entiendo que los tokens anti-CSRF son una parte de los datos enviados en la respuesta que se espera que coincida en las solicitudes posteriores, pero no se almacena en las cookies. Por ejemplo, un formulario con un valor oculto que debe incluirse antes de que se realice una acción en el envío.
El inconveniente de esto es que todas las aplicaciones y los programadores deben recordar incluir este token adicional.
Veo una solución alternativa que permite que las aplicaciones individuales solo necesiten requerir POST para las modificaciones de los datos, y su trabajo está hecho.
Para hacer que esto funcione, simplemente requerimos que todas las solicitudes POST tengan un Referer del mismo sitio.
(no es un sitio que no sea de confianza, no es un sitio que no sea https, y no es un remitente en blanco)
¿Esta solución es un reemplazo completo para los tokens anti-CSRF?