In parte non sono d'accordo con Anders su
But that is not how the internet was built back in the day, and there
is no way to change it now.
Gli sviluppatori dei principali browser hanno praticamente il potere di cambiare Internet e guidare gli sviluppatori web nella direzione che vogliono. L'eliminazione dei dati POST incrociati sarebbe possibile se fosse considerata una delle principali minacce. Ci sono esempi di tali progressi su altre cose, anche se non è né improvviso né veloce:
-
Flash. Mentre in passato era visto come il futuro del Web, i principali browser hanno annunciato di non supportarlo in futuro e gli sviluppatori web si stanno adeguando.
-
HTTPS è stato lentamente forzato dai browser, con piccoli passi verso l'avvertimento che il semplice HTTP è insicuro. Potremmo finalmente vedere un mondo in cui il semplice HTTP viene lentamente soffocato a morte.
Mi piacerebbe vederlo sviluppare per dare priorità alla sicurezza rispetto alla compatibilità più ampiamente. Ovviamente, un cambiamento così grande non sarebbe qualcosa da fare quasi allaperto, ma dando prima alternative e scoraggiandole . Il percorso per raggiungere questo potrebbe essere come questo:
- Introduzione di un'intestazione di criterio Same-Origin per% richieste di
POST
, che consente il consenso esplicito.
- Inizia a mostrare un avviso di possibile problema di sicurezza in caso di cross-site
POST
senza il consenso.
- I siti che hanno ancora bisogno di questa funzionalità si avviano lentamente per adattarsi, per eliminare l'avviso.
- Dopo un lungo periodo di transizione, l'azione potrebbe essere modificata in modo più approssimativo.
Scoraggiare POST
su un semplice HTTP è abbastanza vicino a scoraggiare il cross-site POST
, entrambi contro gli standard. Questa è solo una perdita cosciente di compatibilità con le versioni precedenti, per aumentare la sicurezza.