Что касается атак с подделкой запросов на межсайтовый запрос (CSRF), если куки-файлы наиболее часто используются методом проверки подлинности, почему веб-браузеры позволяют отправлять файлы cookie какого-либо домена (и в этот домен) со страницы, сгенерированной из другого домена?Не проблема CSRF в безопасности браузера?
Не может ли CSRF легко предотвращаться в браузере, запретив такое поведение?
Насколько я знаю, такая проверка безопасности не реализована в веб-браузерах, но я не понимаю, почему. У меня что-то не так?
О CSRF:
Edit: Я думаю, что печенье не должно быть отправлено на HTTP POST, в описанном выше случае. Это поведение браузера меня удивляет.
Браузер может обнаружить, что Вы отправляете форму аа на странице с одного домена на другую страницу другой домен, и отказываются отправлять файлы cookie в этом случае или, по крайней мере, предупреждать вас перед этим. В случае запросов POST я не думаю, что это такая плохая идея. – 2008-10-22 01:29:42