Estoy probando una aplicación y me encuentro con una solicitud GET que devuelve información confidencial en el cuerpo de la respuesta. (El token CSRF se validará para la próxima solicitud). Como es una solicitud GET, el desarrollador omitió la protección CSRF para todas las solicitudes GET y solo se aplicó a POST o solicitudes de cambio de estado. Ese token se utilizará para la próxima solicitud POST.
Sé que con XHR podemos lograr esto, pero IF CORS no está habilitado, o está permitido solo para un dominio en particular, ¿es posible realizar CSRF en tal caso sin XHR?