Простейший идиотский вопрос сломал мозг с утра.
Вот есть у нас популярные сайты и сервисы в интернете, тысячи их. Взять например vk.com (или по желанию поменять на <любой другой известный вас сайт>).
На этом сайте можно авторизоваться под своей учеткой. А авторизовавшись делать всякие разрушительные вещи типа операций удаления <чего-то>. Операции эти вызываются по обыкновению POST-запросом, в нём передаются куки, всё как всегда.
Собственно, вопрос, не дающий мне покоя: что мешает мне, в качестве злоумышленника, создать html-страничку, при заходе на которую человек авторизованный на сайте-жертве выполнял бы произвольное действие под своей учёткой на этом сайте без собственного ведома?
Ну что-то типа, утрируя:
<form action="http://vk.com/actions.php" method="POST">
<input type="hidden" name="delete_my_profile" value="yes i am shure">
<input type="submit">
</form>
Суть возникающего противоречия в том, что с одной стороны, я сейчас накидал такие формочки на двух доменах, и при заходе на один прекрасно выполняются действия на втором, а с другой стороны, если бы это работало для сервисов, то сеть, которую мы знаем, в общем-то уже бы не существовала =)
Что я упустил?
Простой
