Si la aplicación utiliza comunicación REST, ¿debe tener protección CSRF para las solicitudes PUT y DELETE? Según tengo entendido, no es posible activar una solicitud PUT mediante JavaScript y, por lo tanto, me gustaría saber si existe alguna posibilidad de explotación con CSRF PUT ...
Es posible hacer PUT y DELETE usando Javascript con XMLHttpRequest. Pero cuando se utilizan estos métodos para una solicitud de origen cruzado, se realizará una verificación previa para verificar si el servidor está dispuesto a aceptar este PUT / ELIMINAR de origen cruzado. A menos que el servidor permita explícitamente esta solicitud, no se realizará el PUT / SUPRIMIR real. Para obtener más información sobre CORS y las solicitudes de verificación previa, consulte enlace .
Tenga en cuenta que en los navegadores (más antiguos) que no admiten CORS XMLHttpRequest está restringido por la misma política de origen. Esto significa que el navegador ni siquiera intentará enviar una solicitud de origen cruzado de esta manera y, por lo tanto, no es posible un CSRF.
En resumen: a menos que su servidor esté configurado para aceptar solicitudes de origen cruzado, CSRF con PUT o DELETE no es posible.