He leído la guía OWASP para falsificación de solicitudes entre sitios y dice que "otra Los métodos HTTP ", como PUT y DELETE, podrían utilizarse teóricamente para CSRF.
Sin embargo, con la misma política de origen, estas solicitudes no se ejecutan. ¿Por qué PUT / DELETE se ve afectado por la misma política de origen y POST no lo está?
GET y POST son métodos utilizados en enlaces básicos, incrustación y envío de formularios. Este tipo de interacciones entre sitios son anteriores al desarrollo de la misma política de origen. Si la misma política de origen se extendiera para incorporar POST y GET también, probablemente se romperían muchos sitios.
Por lo tanto, cualquier POST y GET que pueda crearse mediante enlaces, incrustaciones o formularios se excluye de la misma política de origen. Pero GET y POST que usan encabezados personalizados o similares que solo pueden crearse con XHR no se excluyen porque nunca podrían suceder en La antigua web anterior a la misma política de origen. Véase también ¿La especificación CORS consideraría un encabezado de tipo de contenido faltante para implicar un" encabezado simple "? para obtener más información.
PUT y DELETE podrían usarse teóricamente para CSRF ... Sin embargo, con la misma política de origen, estas solicitudes no se ejecutan.
Eso solo es cierto por defecto. Si el objetivo proporciona una política CORS adecuada, PUT y DELETE también podrían usarse para CSRF.
Lea otras preguntas en las etiquetas http csrf same-origin-policy