Lo stesso criterio di origine non impedisce all'origine foo.bar
di creare un modulo con l'attributo di azione impostato su un'altra origine baz.duh
e consente anche di inviare questo modulo a livello di codice senza che l'utente conosca eventi non attendibili originati da JavaScript semplicemente caricando la pagina . Per risolvere questo problema, i programmatori sono obbligati a utilizzare i token CSRF.
Se le richieste AJAX provenienti da XMLHttpRequest
e canvas
oggetti sono soggette alla Stessa politica di origine e non è consentito l'accesso alla risposta, perché le richieste di invio di moduli / richieste XHR non sono semplicemente consentite? Qual è il ragionamento alla base di questa indennità?
So che gli endpoint che accettano il metodo di richiesta GET
possono essere sfruttati anche dalle immagini, ma questa domanda riguarda solo POST
e forme di metodo simili. Il fabbisogno di token CSRF non scomparirebbe se la SOP non consentisse la presentazione della forma di origine incrociata? Quale scopo serve la presentazione della forma di origine incrociata?