Siehe Issue #107 und commit-Nachricht. Sollten der Check noch an anderen Stellen eingefuegt werden? Hat jemand Ahnung von diesem Web und kann sagen ob das so gut ist? Wollen wir Requests ohne Origin-Header einfach ablehnen statt erstmal nur zu warnen?