Estaba creando un sitio web a modo de experimento e intenté usar algunas solicitudes ajax para diferentes sitios. En algunos sitios obtendré un error:
XMLHttpRequest no puede cargar enlace No El encabezado 'Access-Control-Allow-Origin' está presente en el pedido recurso. Por lo tanto, no se permite el acceso al origen 'nulo'.
Cuando abrí Wireshark y vi lo que estaba pasando a través de la red, pude ver que incluso en los sitios que produjeron el error (lo que significa que no tenía Access-Control-Allow-Origin en la respuesta) se envió la solicitud a el sitio. Si cambié la respuesta para incluir el encabezado Access-control-allow-origin: *, la respuesta se procesará según sea necesario en mi sitio.
Mi pregunta es: si intentaba hacer CSRF en el sitio solicitado, la respuesta no importa tanto como lo hace la solicitud. Mientras la solicitud se procesó en example.com, no importa si la respuesta no tenía un encabezado de Access-Control-Allow-Origin o no (asumiendo que no me importa la respuesta, solo quería la acción) a realizarse).
¿Estoy en lo correcto y la protección es inútil o me falta algo?