Immagina un'applicazione web generica con un modulo di accesso per accedere all'applicazione. Indipendentemente da come viene eseguita l'autentica autenticazione, quali sono le implicazioni di non controllare l'intestazione del referente per verificare che la richiesta di invio provenga dalla stessa applicazione / dominio / URL approvati?
Un altro modo per pensarci è se si rilascia il controllo dell'intestazione referer e si sta verificando qualcosa che ne verifica la provenienza da una fonte conosciuta. Quali sono le implicazioni del non controllo dell'origine dati del modulo?
Specificamente in uno scenario passivo, ad es. puramente basato sul browser.
La più grande implicazione che vedo è che posso inviare le credenziali da un altro sito e accedere correttamente.
Ma quali rischi ci sono in questo? Mi rendo conto che dipende da ogni applicazione e dai modelli di minaccia per esso, ma può essere generalizzato?