Ho delle domande sui metodi per eseguire CSRF. Ho fatto la lezione di bypass del CSRF in WebGoat (Lessons - > Cross-site Scripting - > By-pass prompt CSRF). La lezione richiede di creare un messaggio e-mail che invia due richieste malevoli a un'app Web a cui il destinatario ha effettuato l'accesso. La prima richiesta imposta un importo di trasferimento di denaro. Il secondo è una richiesta di conferma inviata quando l'utente fa clic su "conferma" su una pagina di conferma.
Ho risolto l'attività utilizzando il codice JavaScript che invia le richieste come richieste HTTP Post. Suppongo che un'altra opzione potrebbe utilizzare moduli e JavaScript per inviare automaticamente i moduli.
La mia domanda è: perché la maggior parte delle persone sembra risolvere la lezione usando i tag img o iframe con src impostato sull'URL di destinazione con i parametri necessari? Mi aspetto che venga effettuato un trasferimento di denaro usando Richieste POST HTTP, non GET. C'è un aspetto che renderebbe l'utilizzo del codice JavaScript o forma un metodo non valido o problematico per CSRF? C'è una differenza pratica rispetto ai compiti sopra citati? Credo che l'autorizzazione non lo è perché puoi avere i cookie inviati al recupero di JavaScript e al momento dell'invio di un modulo.