クロスサイト フォージェリ攻撃を防ぐために、リファラー フィールドで HTTP リクエストをフィルタリングします。私はそれが悪い考えであることを知っており、私はすでに ASP.NET MVC 組み込みの偽造防止メカニズムを使用していますが、私たちの顧客は、HTTP 要求のリファラー フィールドを変更することによってクロスサイト偽造攻撃をチェックする特別なセキュリティ ユーティリティを持っています。
私の質問は、許可されていないドメインを受け取ったときに何をする必要があるのですか? どの http コードを返し、どのページをユーザーに表示する必要がありますか?
404 not found のようなカスタム ページにするか、単にメイン ページにリダイレクトするか。
一般的な慣行とは何ですか?