Hay una url que normalmente se opera con solicitudes POST (es decir, la solicitud POST se envía cuando el usuario envía el formulario). Pero el atacante puede formar una solicitud GET con parámetros que se envían en la solicitud POST. Esta solicitud será aprobada por el servidor y se llevará a cabo la acción correspondiente. Sé que se recomienda no permitir que las solicitudes GET eviten los ataques CSRF. Pero los tokens deben enviarse para que la acción se ejecute.
¿Las urls que normalmente son operadas con solicitudes POST aceptan solo solicitudes POST?