Per quanto ne so, è per questo che usiamo i token csrf ( Cross-site request forgery
).
In teoria, qualsiasi cosa può inviare dati POST a un URL che accetta i dati POST ...
Dire dodgysite.com/login
gestisce una richiesta POST per registrare gli utenti. Tutto questo sito accetta è username / password. Qualsiasi script dovrebbe essere in grado di inviare una richiesta, incluso il tuo sito di phishing.
Sebbene securesite.com/login
possa inoltre gestire un token csrf univoco, che non accetta la richiesta se il token non corrisponde. Poiché questo token viene generato casualmente ogni volta che viene caricato il modulo di login, sarebbe impossibile per un attore malintenzionato inviare dati POST validi da altrove.
Oltre a controllare ogni richiesta di un token csrf valido, securesite.com/login
dovrebbe anche controllare che la richiesta provenga dalla stessa origine (cioè il modulo di accesso legittimo sul sito Web).
Se questi due requisiti non sono soddisfatti, allora sì, sarete in grado di interagire con il modulo di accesso da un'applicazione dannosa.