क्रॉस-साइट अनुरोध जालसाजी (सीएसआरएफ) हमलों के संबंध में, यदि कुकीज़ सबसे अधिक प्रमाणीकरण विधि का उपयोग किया जाता है, तो क्यों वेब ब्राउज़र किसी अन्य डोमेन से उत्पन्न किसी पृष्ठ से कुछ डोमेन (और उस डोमेन) की कुकीज़ भेजने की अनुमति देते हैं?सीएसआरएफ ब्राउज़र सुरक्षा समस्या नहीं है?
क्या ऐसे व्यवहार को अस्वीकार कर ब्राउज़र में सीएसआरएफ आसानी से रोकथाम योग्य नहीं है?
जहां तक मुझे पता है, इस तरह की सुरक्षा जांच वेब ब्राउज़र में लागू नहीं की गई है, लेकिन मुझे समझ में नहीं आता क्यों। क्या मुझे कुछ गलत मिला?
CSRF के बारे में:
संपादित करें: मुझे लगता है कि कुकीज़ उपरोक्त मामले में http पोस्ट पर नहीं भेजा जाना चाहिए। वह ब्राउज़र व्यवहार है जो मुझे आश्चर्यचकित करता है।
ब्राउज़र का पता लगा सकता है कि आप पर किसी पृष्ठ पर एक डोमेन से एक पृष्ठ पर आ प्रपत्र पोस्ट कर रहे हैं एक और डोमेन, और उस मामले में कुकीज़ भेजने से इनकार करते हैं, या कम से कम आपको ऐसा करने से पहले चेतावनी देते हैं। POST अनुरोधों के मामले में, मुझे नहीं लगता कि यह इतना बुरा विचार है। –