Questa risposta descrive una situazione in cui CSRF può essere utilizzato per ingannare un utente finale per inserire una carta di credito nell'account Paypal di un'altra persona. Evidenzia anche il fatto che le richieste GET che cambiano lo stato sono altrettanto brutte delle richieste POST.
Questo è abbastanza semplice da capire quando si ha a che fare con un'autenticazione basata su un singolo modulo. Ma se introduciamo un sistema di autenticazione basato su GET e POST su domini diversi che non "possediamo", non sono sicuro di come prevenire CSRF in quella situazione.
If I were to extend this to OpenID, does this mean that a user could inject their OpenID credentials into my session?
Qual è il modo giusto per affrontare questo problema?