¿Cómo protege el envío de encabezados HTTP de referencia contra los ataques CSRF?
Intenté iniciar sesión en un sitio HTTPS con network.http.sendRefererHeader de Firefox establecido en 0 deshabilitado, como medida contra el seguimiento), y decía:
Prohibido (403)
Error en la verificación de CSRF. Solicitud abortada.
Está viendo este mensaje porque este sitio HTTPS requiere una 'Encabezado de referencia' que enviará su navegador web, pero no se envió ninguno. Este encabezado es necesario por razones de seguridad, para garantizar que su El navegador no está siendo secuestrado por terceros.
Si ha configurado su navegador para deshabilitar los encabezados "Referer", por favor, vuelva a habilitarlos, al menos para este sitio, o para HTTPS conexiones, o para solicitudes de 'mismo origen'.
¿Cómo evitaría esto los ataques CRSF? ¿No podría el atacante simplemente falsificar el encabezado del remitente, haciendo que se vea como uno que habría enviado?