¿Por qué se permiten las solicitudes POST entre dominios? [duplicar]

1

Entiendo que la mejor práctica es usar tokens para evitar el CSRF, pero ¿por qué los navegadores permiten las solicitudes POST entre sitios en primer lugar? Parece que dar a las personas que no son de confianza acceso de escritura sin restricciones a su servidor es una mala idea.

El sitio de W3 dice que "Bajo la política del mismo origen, el envío de información entre sitios también es peligroso, ya que permite ataques como la falsificación de solicitudes entre sitios (CSRF) y el clickjacking. La política del mismo origen no puede resolver estos problemas. "Las vulnerabilidades de seguridad de la misma manera que las de la información, ya que prohibir el envío de información entre sitios, prohibiría los hipervínculos entre sitios". [1]

Pero esto parece una falsa dicotomía. Podríamos rechazar los POST en sitios cruzados y al mismo tiempo permitir hipervínculos, que son GET.

[1] enlace

    
pregunta Michael Gummelt 11.06.2018 - 05:50
fuente

1 respuesta

0
  

Parece que es una mala idea otorgar acceso de escritura sin restricciones a terceros no confiables a tu servidor.

Supongo que eso sería cierto a menos que todo su modelo de negocio dependiera de ello:

respondido por el CaffeineAddiction 11.06.2018 - 06:09
fuente

Lea otras preguntas en las etiquetas