È possibile eseguire PUT e DELETE utilizzando Javascript con XMLHttpRequest. Ma quando si usano questi metodi per una richiesta di verifica incrociata, verrà effettuata una richiesta di verifica preliminare per verificare se il server è disposto ad accettare questo PUT / DELETE di origine incrociata. A meno che il server non consenta esplicitamente questa richiesta, il PUT / DELETE effettivo non verrà eseguito. Per ulteriori informazioni su CORS e le richieste di verifica preliminare, vedi link .
Si noti che nei browser (più vecchi) che non supportano CORS XMLHttpRequest è limitato dalla stessa politica di origine. Ciò significa che il browser non tenterà nemmeno di inviare una richiesta di origine incrociata in questo modo e quindi non è possibile alcuna CSRF.
In sintesi: a meno che il tuo server non sia configurato per accettare richieste di origine incrociata, CSRF con PUT o DELETE non è possibile.