Entiendo que la mejor práctica es usar tokens para evitar el CSRF, pero ¿por qué los navegadores permiten las solicitudes POST entre sitios en primer lugar? Parece que dar a las personas que no son de confianza acceso de escritura sin restricciones a su servidor es una mala idea.
El sitio de W3 dice que "Bajo la política del mismo origen, el envío de información entre sitios también es peligroso, ya que permite ataques como la falsificación de solicitudes entre sitios (CSRF) y el clickjacking. La política del mismo origen no puede resolver estos problemas. "Las vulnerabilidades de seguridad de la misma manera que las de la información, ya que prohibir el envío de información entre sitios, prohibiría los hipervínculos entre sitios". [1]
Pero esto parece una falsa dicotomía. Podríamos rechazar los POST en sitios cruzados y al mismo tiempo permitir hipervínculos, que son GET.
[1] enlace