Почему SOP не блокирует запросы с разных источников, позволяя воспроизвести CSRF?
Известно, что SOP помешает прочитать ответ запроса с разных источников, дабы защитить конфиденциальные данные. Но сами запросы посылаются. Это и делает возможным CSRF-атаку.
Например, если мы на evil.com инициируем POST-запрос на передачу денег и пошлём его bank.com, то браузер позволит это сделать и подставит все куки сайта bank.com в запрос. Фактически он даёт всю ответственность за защиту от CSRF сайту.
Мне вот интересно, а нельзя было бы применять SOP и для блокировки запросов. Причём, тот же CORS мог бы позволить в некоторых случаях сделать исключение, если сайту необходимо такое поведение?
CORS умеет блокировать не только ответы, но и запросы, но только в случае "сложных" запросов.
(Например POST с Content-Type: application/json будет сложным)
А банк от csrf-уязвимостей должен защититься при помощи csrf-токенов.
Средний
Средний
Простой