Sto testando un'applicazione e trovo una richiesta GET che restituisce informazioni sensibili nel corpo della risposta. (Token CSRF da convalidare per la prossima richiesta). Poiché si tratta di una richiesta GET, lo sviluppatore ha ignorato la protezione CSRF per tutte le richieste GET e applicato solo a richieste POST o di modifica dello stato. Quel token sarà usato per la prossima richiesta POST.
So che usando XHR possiamo farlo, ma SE CORS non è abilitato, o permesso solo per un particolare dominio, è ancora possibile eseguire CSRF in questo caso senza XHR?