ASP.Net MVC：通过 HTTP_REFERER 将 JSON 请求锁定到站点内

Question

假设我有一个 ASP.Net MVC 站点。如何锁定控制器方法（可能使用操作上的属性）以便 HTTP_REFERER 必须指向我的站点？

扩展一下：

我的控制器上有许多标记为 [Authorize] 的 JSON 操作，以防止 uncookied* 用户进入。

有人偷偷摸摸 构建攻击者网页并将其通过电子邮件发送给登录我网站的用户。该页面包含一个从我的 JSON 控制器操作获取的脚本。这会导致用户的浏览器将登录的 cookie 发送到我的授权控制器方法，将该用户的数据返回到攻击者的网页，然后他们可以读取该数据并将其传递到其他地方。

如果我可以锁定这些请求，以便 HTTP_REFERER 必须指向我的站点，则可以防止请求 JSON 的跨站点攻击。最简单的方法是什么？

请注意，我显然不想锁定所有请求、JSON、授权或否 - 人们仍然需要能够链接到该网站。但是，除了我们网站上的页面之外，任何授权 JSON 请求都不应被访问。

*是的，这个词是我编造的。