Я пытаюсь улучшить свою защиту от CSRF, проверяя источник и заголовок ссылки на стороне сервера, прежде чем принимать или блокировать запросы от клиента.
Ссылаясь на этот сайт по адресу owasp.org , следует заблокировать все запросы, которые ни источник, ни заголовок ссылки:
Что делать, если нет ни источника, ни реферала
Если ни один из этих заголовков отсутствует, что должно быть ОЧЕНЬ редко, вы можете либо принять, либо заблокировать запрос. Рекомендуем блокировать, (...)
НО ... когда я теперь открываю новую вкладку и пытаюсь загрузить свою страницу в первый раз, мой запрос не имеет заголовка origin или referer, поэтому мой первый запрос блокируется.
Вопрос: Как вести себя в этих случаях? Или я что-то не понял?
Примечание: я использую защиту CSRF-токена, этот вопрос касается только проверки заголовка.
