Po co zawracać sobie głowę wymaganiem tokena CSRF na żądanie POST?
Rozumiem, że CSRF zapobiega atakującemu za pomocą<img>
tag, aby przeglądarka ofiary wysłała żądanie, które byłoby uwierzytelnione przy użyciu pliku cookie sesji. Jeśli się uwzględni<img>
s są zawsze przesyłane przy użyciu żądania GET, a nie POST, to dlaczego konieczne jest żądanie tokenu CSRF w żądaniu POST?
Ponadto atakujący nie będzie w stanie przesłać formularza na stronie internetowej bez możliwości uruchomienia kodu (tj. Ataku XSS), w którym to przypadku i tak mogą obejść zabezpieczenia CSRF.