Estoy trabajando en un sitio web PHP completamente basado en AJAX (a través de jQuery). Es una página única en la que AJAX realiza todas las solicitudes.
En relación con la protección contra CSRF, he encontrado el problema de tener que incluir manualmente el token en cada solicitud que realizo, lo cual es extremadamente tedioso e incómodo. Buscando una solución alternativa a los tokens, leí sobre SOP (Política de Mismo Origen) en relación con las solicitudes de AJAX. Si lo entendí bien, xmlhttprequest no está permitido en diferentes dominios (a menos que esto habilite CORS, que no es el caso).
Entonces, en este caso, me pregunto si verificar el origen de la solicitud (a través de HTTP_ORIGIN) y el encabezado X-Requested-With (para garantizar que la solicitud sea una solicitud de AJAX) sería suficiente para evitar Ataques CSRF. es decir, quería saber si realmente se necesita algún token teniendo en cuenta las condiciones anteriores.
Muchas gracias por tu tiempo.