几个月前，我为Microdot框架添加了CSRF保护，最初计划使用传统的反CSRF令牌，但发现基于Sec-Fetch-Site头的方法更简单有效。虽然旧浏览器兼容性存在问题，我选择使用Origin头作为备选方案。最终实现符合Microdot的简约理念，并期待OWASP将此方法推广为主流解决方案。