クライアントからの要求を受け入れるか、ブロックする前に、発信元とリファラーのヘッダー serversideをチェックして、CSRF防止を強化しようとしています。CSRF防止:原産地とリファラーヘッダはありません。
1はどちらも行いません起源またはRefererヘッダを含め、すべての要求をブロックする必要がありowasp.org でthisサイトを参照:
起源とリファラーの両方が
存在しないとき何をしますこれらのヘッダーのいずれも存在しない場合は非常にまれですが、要求を受け入れるかブロックすることができます。
ただし、新しいタブを開いて最初にページを読み込もうとすると、私のリクエストにはオリジナルまたはリファラーヘッダーがないため、最初のリクエストが取得されます。ブロックされる。
質問:これらのケースはどのように処理する必要がありますか?それとも私は何かを忘れてしまった?
注:私はCSRFトークン保護を使用していますが、この質問はヘッダーチェックに関するものです。