Perché sono permesse le richieste POST tra domini? [duplicare]

1

Capisco che la buona pratica è usare i token per prevenire CSRF, ma perché i browser consentono le richieste POST cross-site in primo luogo? Sembra che dare alle parti non fidate un libero accesso in scrittura al tuo server sia una cattiva idea.

Il sito W3 afferma che "Sotto la stessa politica di origine, anche l'invio di informazioni tra siti è pericoloso poiché consente attacchi come la falsificazione di richieste tra siti (CSRF) e il clickjacking. le vulnerabilità della sicurezza nello stesso modo in cui si trovano a ricevere informazioni, dal momento che vietare l'invio di informazioni tra siti proibirebbe collegamenti ipertestuali tra siti ". [1]

Ma questa sembra una falsa dicotomia. Potremmo disabilitare i POST tra siti pur consentendo comunque collegamenti ipertestuali, che sono GET.

[1] link

    
posta Michael Gummelt 11.06.2018 - 05:50
fonte

1 risposta

0

It seems like giving untrusted parties unfettered write access to your server is a bad idea.

Suppongo che sarebbe vero a meno che non dipendesse da tutto il tuo modello di business:

risposta data 11.06.2018 - 06:09
fonte

Leggi altre domande sui tag