Допустим, я владею и контролирую 2 домена, a.example.com и b.example.com, оба с SSL. Сайт a есть формы, которые отправляются POST. Сайт a также отправляет POST-запросы на сайт b с чем-то вроде requests.post(b.example.com, params=parms).
Каковы различия в безопасности / уровень угрозы между отправленными запросами A -> A по сравнению с A -> B?
Насколько я понимаю, CSRF доступен только для A -> A, однако вы можете использовать ключ API в качестве хорошей замены для проверки запросов. A -> B.
Почему-то межсайтовые запросы заставляют меня нервничать больше, чем внутрисайтовые запросы. Есть ли разница в безопасности?