Совместимость http-заголовка «Origin» для применения ограничений

Я создаю RESTful JSON API, и меня беспокоит кража данных json и пересечение -подделка запроса сайта .

Хорошим решением, созданным для решения обеих этих проблем, является http-заголовок Origin . Однако я обеспокоен тем, что этот метод не совместим со всеми современными браузерами. Это обоснованное беспокойство? Является ли HTTP-заголовок Origin бесполезным из-за проблем с совместимостью? Следует ли когда-либо учитывать источник при выполнении проверки реферера HTTP ?