История изменений

Есть два варианта.

Ты можешь встроить оригинальную форму в свой сайт видимым или скрытым iframe. Но ты не сможешь её программно отправить через метод submit, потому что фреймы на разных доменах не имеют доступа к DOM друг друга.

Юзер сам должен будет заполнить и отправить форму. Это более сложно с точки зрения социальной инженерии, а ещё форма может отказаться грузиться в iframe.

Либо ты можешь сделать свою собственную форму и указать ей action такой же как у ЛОР. Такую форму получится отправить программно, но ты не знаешь какой csrf токен в неё положить и ЛОР не отработает запрос несмотря на наличие куки авторизации.

А без токена можно было бы сделать на своей странице форму с нужным action и засабмиттить её без ведома юзера. Да, ты бы не узнал результат сабмита (браузер его не даст тебе из-за cors), но действие было бы сделано.

У csrf есть альтернатива - хранить авторизацию не в куках, а в local storage и добавлять программно к исходящим запросам. Но это имеет свои минусы: выше поверхность атаки при XSS (можно не только выполнить действие, но и увести токен для работы офлайн) и не работает со статическими страницами (подходит только для SPA или если всё статическое можно прочитать без авторизации).

Есть два варианта.

Ты можешь встроить оригинальную форму в свой сайт видимым или скрытым iframe. Но ты не сможешь её программно отправить через метод submit, потому что фреймы на разных доменах не имеют доступа к DOM друг друга.

Юзер сам должен будет заполнить и отправить форму. Это более сложно с точки зрения социальной инженерии, а ещё форма может отказаться грузиться в iframe.

Либо ты можешь сделать свою собственную форму и указать ей action такой же как у ЛОР. Такую форму получится отправить программно, но ты не знаешь какой csrf токен в неё положить и ЛОР не отработает запрос несмотря на наличие куки авторизации.

А без токена можно было бы сделать на своей странице форму с нужным action и засабмиттить её без ведома юзера. Да, ты бы не узнал результат сабмита (браузер его не даст тебе из-за cors), но действие было бы сделано.

У csrf есть альтернатива - хранить авторизацию не в куках, а в local storage и добавлять программно к исходящим запросам. Но это имеет свои минусы: выше поверхность атаки при XSS (можно не только выполнить действие, но и увести токен для работы офлайн) и не работает со статическими страницами.

Есть два варианта.

Ты можешь встроить оригинальную форму в свой сайт видимым или скрытым iframe. Но ты не сможешь её программно отправить через метод submit, потому что фреймы на разных доменах не имеют доступа к DOM друг друга.

Юзер сам должен будет заполнить и отправить форму. Это более сложно с точки зрения социальной инженерии, а ещё форма может отказаться грузиться в iframe.

Либо ты можешь сделать свою собственную форму и указать ей action такой же как у ЛОР. Такую форму получится отправить программно, но ты не знаешь какой csrf токен в неё положить и ЛОР не отработает запрос несмотря на наличие куки авторизации.

А без токена можно было бы сделать на своей странице форму с нужным action и засабмиттить её без ведома юзера. Да, ты бы не узнал результат сабмита (браузер его не даст тебе из-за cors), но действие было бы сделано.

Есть два варианта.

Ты можешь встроить оригинальную форму в свой сайт видимым или скрытым iframe. Но ты не сможешь её программно отправить через метод submit, потому что фреймы на разных доменах не имеют доступа к DOM друг друга.

Юзер сам должен будет заполнить и отправить форму.

Либо ты можешь сделать свою собственную форму и указать ей action такой же как у ЛОР. Такую форму получится отправить программно, но ты не знаешь какой csrf токен в неё положить и ЛОР не отработает запрос несмотря на наличие куки авторизации.

А без токена можно было бы сделать на своей странице форму с нужным action и засабмиттить её без ведома юзера. Да, ты бы не узнал результат сабмита (браузер его не даст тебе из-за cors), но действие было бы сделано.