Я понимаю, что CSRF запрещает злоумышленнику использовать тэг <img>
, чтобы заставить браузер жертвы отправить запрос, который будет аутентифицироваться с использованием файла cookie сеанса. Учитывая, что <img>
s всегда отправляются с использованием запроса GET, а не POST, тогда зачем нужно требовать токен CSRF в запросе POST?Зачем требовать токен CSRF при запросах POST?
Кроме того, злоумышленник не сможет отправить форму на веб-странице без возможности запуска кода (например, атаки XSS), и в этом случае они могут обойти защиту CSRF в любом случае.
Форма POST не подчиняется той же политике происхождения. Они могут размещать форму на * любом * сайте. –
Я думаю, что ваше предположение о том, что CSRF-токены (исключительно), чтобы победить '' '' атаки, неверны.Другие возможные атаки используют javascript на вредоносных сайтах для отправки скрытого запроса POST на целевой сайт или подделанную форму на вредоносный сайт ... –
@JonasWielicki это правда (я все еще обдумываю все это), и есть также '