Кроссдоменные POST-запросы: практика и теория

Простейший идиотский вопрос сломал мозг с утра.
Вот есть у нас популярные сайты и сервисы в интернете, тысячи их. Взять например vk.com (или по желанию поменять на <любой другой известный вас сайт>).
На этом сайте можно авторизоваться под своей учеткой. А авторизовавшись делать всякие разрушительные вещи типа операций удаления <чего-то>. Операции эти вызываются по обыкновению POST-запросом, в нём передаются куки, всё как всегда.

Собственно, вопрос, не дающий мне покоя: что мешает мне, в качестве злоумышленника, создать html-страничку, при заходе на которую человек авторизованный на сайте-жертве выполнял бы произвольное действие под своей учёткой на этом сайте без собственного ведома?
Ну что-то типа, утрируя:
<form action="http://vk.com/actions.php" method="POST">
<input type="hidden" name="delete_my_profile" value="yes i am shure">
<input type="submit">
</form>


Суть возникающего противоречия в том, что с одной стороны, я сейчас накидал такие формочки на двух доменах, и при заходе на один прекрасно выполняются действия на втором, а с другой стороны, если бы это работало для сервисов, то сеть, которую мы знаем, в общем-то уже бы не существовала =)

Что я упустил?
  • Вопрос задан
  • 3103 просмотра
Пригласить эксперта
Ответы на вопрос 2
AloneCoder
@AloneCoder
[object Object]
Вы сейчас говорите о XSRF атаке
Ответ написан
FloppyFormator
@FloppyFormator
Как раз VK в начале своего существования был подвержен атакам такого рода. Если вспомните, постоянно появлялись левые записи на стенах и сообщения, которые автор не отправлял.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы