OWASP CSRF Prevention cheatsheet habla sobre dos mitigaciones populares para CSRF - Origen / Referr Comprobación de encabezado y basado en token.
¿Hay algún problema en la mitigación basada en la verificación de origen / referencia que podría haber sido detectada por la mitigación basada en token y viceversa? Solo trato de entender si necesitamos emplear a ambos en nuestras aplicaciones. Me gustaría implementar ambos si cada uno de ellos tiene algún inconveniente que podría haber sido detectado por el otro (si no hay nada como tal, me gustaría seleccionar uno de ellos por ahora y considerar la posibilidad de agregar otra defensa en medida de profundidad en un momento posterior del tiempo)