Si configuro acciones para que los usuarios registrados se realicen a través de métodos HTTP que no sean GET o POST , entonces las solicitudes HTTP de Javascript que respeten la Política del mismo origen (SOP) o el Intercambio de recursos entre orígenes (CORS) es la La única forma de realizar esas acciones con credenciales, ¿no es así? (Ya que parece que no es posible con HTML básico).
En los navegadores modernos, las solicitudes con métodos distintos a HEAD , GET y POST no se pueden enviar de origen cruzado sin un permiso CORS.
Si su aplicación verifica que el método de solicitud es, por ejemplo, PUT , un atacante no puede falsificar esa solicitud en un ataque CSRF, a menos que usted dé su permiso explícitamente, por ejemplo. con un encabezado Access-Control-Allow-Methods: PUT .
Vea también: Ejemplos de escenarios de control de acceso