Capisco che la buona pratica è usare i token per prevenire CSRF, ma perché i browser consentono le richieste POST cross-site in primo luogo? Sembra che dare alle parti non fidate un libero accesso in scrittura al tuo server sia una cattiva idea.
Il sito W3 afferma che "Sotto la stessa politica di origine, anche l'invio di informazioni tra siti è pericoloso poiché consente attacchi come la falsificazione di richieste tra siti (CSRF) e il clickjacking. le vulnerabilità della sicurezza nello stesso modo in cui si trovano a ricevere informazioni, dal momento che vietare l'invio di informazioni tra siti proibirebbe collegamenti ipertestuali tra siti ". [1]
Ma questa sembra una falsa dicotomia. Potremmo disabilitare i POST tra siti pur consentendo comunque collegamenti ipertestuali, che sono GET.
[1] link