Security 当请求不存在时，我应该返回哪个代码'；无法通过跨站点伪造攻击验证

我按referer字段过滤HTTP请求，以防止跨站点伪造攻击。我知道这是一个坏主意，我已经使用ASP.NET MVC内置的防伪机制，但我们的客户有特殊的安全实用程序，通过更改HTTP请求的引用字段来检查跨站点伪造攻击

我的问题是，当我收到不允许的域名时，我需要做什么？返回什么http代码以及应该向用户显示哪个页面

它应该是像404这样的自定义页面，还是仅仅重定向到主页

通常的做法是什么？

“403禁止”，并提供一个HTML正文，将用户引导到您的主页

---

攻击者在POST过程中看不到CSRF攻击的状态代码（由于同源策略），因此HTTP代码除了用于通知真实用户之外没有任何意义。

只要您确信此响应只会提供给潜在的攻击者，请返回一些不给他们任何关于发生了什么的信息的内容。404（甚至500，作为诱饵）不会帮助他们改进攻击。@RichieHindle不，这个响应可能会给那些刚刚在其他资源（使用另一个域）上单击指向我们的应用程序的链接的用户。