Ihr habt sicher schonmal diese ganzen Request-Header mit dem Präfix Sec- gesehen, die der Browser so mit schickt. Die kann man für CSRF-Protection nutzen: CSRF Protection without Tokens or Hidden Form Fields.
Das ist eine bessere Alternative zum Origin-Header, denn hier schickt der Browser einfach “same-site”, “same-origin” etc, mit, statt der Origin selbst. Das Feld kann nicht durch den Fetch-Request gesetzt werden und man kann beim Deployen einfach nur schauen, ob es bspw. “same-site” ist, ohne zu wissen, welche Domain das Deployment gerade hat (was man beim Origin-Header wissen müsste).