Imagine una aplicación web genérica con un formulario de inicio de sesión para acceder a la aplicación. Independientemente de cómo se realiza la autenticación real, ¿cuáles son las implicaciones de no verificar el encabezado del remitente para verificar que la solicitud de envío proviene de la misma aplicación / dominio / URL aprobadas?
Otra forma de pensar acerca de esto es si cancelas la comprobación del encabezado del remitente y verificas algo que verifica que proviene de una fuente conocida. ¿Cuáles son las implicaciones de no verificar el origen de datos del formulario?
Específicamente en un escenario pasivo, por ejemplo, puramente basado en el navegador.
La mayor implicación que veo es que puedo enviar las credenciales de otro sitio e iniciar sesión correctamente.
¿Pero qué riesgos hay en esto? Me doy cuenta de que depende de cada aplicación y de los modelos de amenaza para ella, pero ¿se puede generalizar?