Si mi sitio solo responde a solicitudes de su propio dominio, ¿tiene sentido implementar tokens CSRF en mis solicitudes?
Creo que es el sitio cruzado en CSRF lo que me lleva a hacer esta pregunta.
Si solo se ignoran las solicitudes entre sitios, ¿el token Anti-Frogery de CSRF agrega algún valor?
La falsificación de solicitudes de sitios cruzados es, por definición, una solicitud de sitios cruzados. Si su solicitud no acepta solicitudes entre sitios (es decir, todo el mismo sitio), por supuesto, CSRF no es un problema. Pero, asegúrese de verificar correctamente si esta solicitud es realmente una solicitud del mismo sitio. Esto significa especialmente que no debe permitir encabezados de remitentes vacíos, ya que estos pueden crearse mediante solicitudes entre sitios y que no debe verificar el encabezado de remitentes con una expresión regular demasiado permisiva.
Lea otras preguntas en las etiquetas web-application csrf