Se imposto le azioni per gli utenti registrati da eseguire tramite metodi HTTP diversi da GET o POST , le richieste HTTP Javascript che rispettano lo stesso criterio di origine (SOP) o Cross-Origin Resource Sharing (CORS) è il l'unico modo per eseguire tali azioni con credenziali non è vero? (Dal momento che sembra non essere possibile con l'HTML di base.)
Nei browser moderni, le richieste con metodi diversi da HEAD , GET e POST non possono essere inviate con origine incrociata senza un'autorizzazione CORS.
Se la tua applicazione verifica che il metodo di richiesta sia, ad esempio, PUT , un utente malintenzionato non può falsificare tale richiesta in un attacco CSRF, a meno che tu non dia esplicitamente il permesso, ad es. con un'intestazione Access-Control-Allow-Methods: PUT .
Vedi anche: Esempi di scenari di controllo degli accessi