Rozumiem, że CSRF zapobiega atakującemu za pomocą<img> tag, aby przeglądarka ofiary wysłała żądanie, które byłoby uwierzytelnione przy użyciu pliku cookie sesji. Jeśli się uwzględni<img>s są zawsze przesyłane przy użyciu żądania GET, a nie POST, to dlaczego konieczne jest żądanie tokenu CSRF w żądaniu POST?

Ponadto atakujący nie będzie w stanie przesłać formularza na stronie internetowej bez możliwości uruchomienia kodu (tj. Ataku XSS), w którym to przypadku i tak mogą obejść zabezpieczenia CSRF.