من درک می کنم که بهترین روش استفاده از نشانه ها برای جلوگیری از CSRF است، اما چرا مرورگرها به جای درخواست POST متقابل سایت اجازه می دهند؟ به نظر می رسد که دادن احزاب غیر قابل اعتماد امکان دسترسی نوشتاری به سرور شما یک ایده بد است.
سایت W3 می گوید: "تحت یک سیاست مبدا، ارسال اطلاعات متقابل سایت نیز خطرناک است زیرا حملات مانند متقابل، جعل تقلب در سایت (CSRF) و clickjacking. خط مشی همان مبدا نمی تواند این آسیب پذیری های امنیتی را به همان شیوه ای که در اطراف دریافت اطالعات قرار دارد، رد کند چرا که ممنوعیت ارسال متقابل سایت از طریق لینک های متقابل سایت ممنوع است. " [1]
اما این به نظر می رسد مثل دوگانگی دروغین است. ما می توانیم POST های متقارن را مجاز کنیم در حالی که هنوز هم اجازه می دهیم لینک هایی که GET دریافت می کنند.
[1] https://www.w3.org/Security/wiki/Same_Origin_Policy
