Con respecto a los ataques de falsificación de solicitudes entre sitios (CSRF), si las cookies son el método de autenticación más utilizado, ¿por qué los navegadores web permiten enviar cookies de algún dominio (y ese dominio) desde una página generada desde otro dominio?¿No es CSRF un problema de seguridad del navegador?
¿No se puede prevenir CSRF fácilmente en el navegador al no permitir este tipo de comportamiento?
Hasta donde yo sé, este tipo de control de seguridad no se implementa en los navegadores web, pero no entiendo por qué. ¿Obtuve algo mal?
Sobre CSRF:
Editar: Creo que las cookies no deben ser enviados en http POST en el caso anterior. Ese es el comportamiento del navegador que me sorprende.
El navegador podría detectar que usted está enviando forma de AA en una página de un dominio a una página en otro dominio, y se niega a enviar las cookies en ese caso, o al menos lo advierte antes de hacerlo. En el caso de las solicitudes POST, no creo que sea una mala idea. –