Tengo una pregunta sobre los métodos para ejecutar CSRF. Realicé la lección del paso rápido de solicitud de CSRF en WebGoat (Lecciones - > Creación de secuencias de comandos entre sitios - > By-pass de solicitud CSRF). La lección requiere que elabore un mensaje de correo electrónico que envíe dos solicitudes maliciosas a una aplicación web en la que el destinatario haya iniciado sesión. La primera solicitud establece una cantidad de transferencia de dinero. La segunda es una solicitud de confirmación que se envía cuando el usuario hace clic en "confirmar" en una página de confirmación.
Resolví la tarea utilizando el código JavaScript que envía las solicitudes como solicitudes HTTP Post. Supongo que otra opción sería utilizar formularios y JavaScript para enviar los formularios automáticamente.
Mi pregunta es ¿por qué la mayoría de las personas parece resolver la lección utilizando etiquetas img o iframes con src configurado en la URL de destino con los parámetros necesarios? esperaría que se realice una transferencia de dinero usando Solicitudes HTTP POST, no GET. ¿Hay algún aspecto que haría que el uso de un código JavaScript o un método inválido o problemático para CSRF? ¿Hay alguna diferencia práctica en comparación con las tareas antes mencionadas? Creo que la autorización no es así porque puede recibir las cookies enviadas a través de JavaScript y al enviar un formulario.