De même wikipedia sur les politiques Origine
https://en.wikipedia.org/wiki/Same-origin_policySans la même stratégie d'origine, un site malveillant peut-il lire le jeton CSRF?
La politique d'origine permet de protéger les sites qui utilisent des sessions authentifiées. L'exemple suivant illustre un risque de sécurité potentiel qui pourrait survenir sans la politique d'origine identique. Supposons qu'un utilisateur visite un site Web bancaire et ne se déconnecte pas. Ensuite, l'utilisateur va sur un autre site qui a un code JavaScript malveillant en arrière-plan qui demande des données du site bancaire. Parce que l'utilisateur est toujours connecté sur le site bancaire, le code malveillant pourrait faire tout ce que l'utilisateur pourrait faire sur le site bancaire. Par exemple, il pourrait obtenir une liste des dernières transactions de l'utilisateur, créer une nouvelle transaction, etc. En effet, le navigateur peut envoyer et recevoir des cookies de session sur le site bancaire en fonction du domaine du site bancaire.
Cette partie i compris mais maintenant ...
L'utilisateur visitant le site malveillant attendre à ce que le site il est en visite n'a pas accès au cookie de session bancaire. Alors qu'il est vrai que le JavaScript n'a pas d'accès direct au cookie de session bancaire ...
Parce que le cookie de session est marqué httpOnly?
... d'envoyer et de recevoir des demandes au site bancaire avec le cookie de session du site bancaire. Parce que le script peut essentiellement faire la même chose que l'utilisateur, même les protections CSRF par le site bancaire ne seraient pas efficaces.
La stratégie de même origine interdit l'origine croisée lit. Ainsi, si nous supposons que SOP n'est pas appliqué, le site malveillant peut lire le jeton CSRF de la réponse? Est-ce la raison pour laquelle Wikipédia dit que même les protections du CSRF ne seraient pas efficaces?