Por lo que sé, esta es la razón por la que usamos tokens csrf ( Cross-site request forgery
).
Teóricamente, cualquier cosa puede enviar datos POST a una URL que acepte datos POST ...
Supongamos que dodgysite.com/login
maneja una solicitud POST para iniciar sesión. Todo lo que este sitio acepta es nombre de usuario / contraseña. Cualquier secuencia de comandos debe poder enviar una solicitud, incluido su sitio de phishing.
Mientras que securesite.com/login
también puede manejar un token csrf único, que no aceptaría la solicitud si el token no coincide. Dado que este token se genera aleatoriamente cada vez que se carga el formulario de inicio de sesión, sería imposible que un actor malintencionado envíe datos POST válidos de otra parte.
Además de revisar cada solicitud de un token csrf válido, securesite.com/login
también debe verificar que la solicitud proviene del mismo origen (es decir, el formulario de inicio de sesión legítimo en el sitio web).
Si estos dos requisitos no se cumplen, entonces sí, podría interactuar con el formulario de inicio de sesión desde una aplicación maliciosa.