¿Por qué se descubrió el token crsf en primer lugar? Siempre se puede verificar desde la solicitud generada por el encabezado de origen
No es obligatorio que un navegador proporcione el encabezado. En ausencia de un encabezado de origen válido, ¿qué supuestos debe hacer la aplicación?
Por lo tanto:
Su sugerencia solo brindaría protección contra ataques iniciados desde otros vhosts, no desde diferentes aplicaciones en el mismo vhost
hará que las solicitudes legítimas fallen si la aplicación implementa fragmentación del dominio
requiere que la aplicación conozca el dominio que le está prestando
Además, el soporte de origen es patchy .
Dado que proporciona un mecanismo para el seguimiento / desanonización de usuarios sin depender de la persistencia del lado del cliente, es poco probable que sea viable a largo plazo como un medio para garantizar la integridad de la sesión.
Porque modificar encabezados es fácil como extension .
Regla 1. Nunca confíes en nada del encabezado.
Lea otras preguntas en las etiquetas web-application csrf