سوالات زیر را در رابطه با CSRF، SOP و CORS مطرح می کنم.
-
آیا نشانه های CSRF تنها از ارسال فرم با روش POST یا GET محافظت می کنند؟ آیا این فقط یک "معمول" است (با توجه به این واقعیت که تنها ارسال های ارسالی آسیب پذیر هستند مانند مثال درخواست POST برای انتقال وجوه در یک وب سایت بانکداری وب)
-
آیا CORS تنها در صورت درخواست محتوای با GET موجود است روش و نه با POST؟ اگر یک فرم با استفاده از نشانه CSRF محافظت شده باشد، در این صورت هیچ نگرانی در مورد CORS برای ایجاد چنین درخواست (به معنی ارسال فرم از یک دامنه متفاوت) وجود ندارد؛ به این دلیل که حتی با فعال شدن CORS، یک نشانه CSRF از این محتوا محافظت می شود (حتی اگر این یک مورد معمول استفاده از نشانه CSRF نیست)
-
آیا CORS بر اساس چک کردن سرصفحه مبدأ به دلیل این واقعیت است که مرورگر قربانی را نمی توان به دروغ گویی سرچشمه مبدأ فریب داد؟ در حالی که CURL ما را قادر به فریب دادن هدرها می کند، در این حمله خاص مرورگر قربانی نمی تواند فریب خورده باشد؟
من پست های مختلفی را در رابطه با بالا خوانده ام، اما توضیح واضح تر را دوست دارم. به عنوان مثال من این را خوانده ام:
با این حال، بارگیری منابع از میزبان های دیگر مانند تصاویر، اسکریپت ها، شیوه نامه ها، فریم ها، فرم های ارسال و غیره به این محدودیت محدود نمی شود
چه چیزی باعث دلگرمی من است فکر می کنم این است که اکثر موضوعات در مورد CSRF نشانه تنها در نمونه هایی با فرم ها و ارسال داده ها با روش POST به یک سرور مشخص می شود و بر روی تصویر بزرگ تر توضیح نمی دهد.
