Vlákno názorů k článku Chrome omezí webům přístup do místní sítě: brání útokům dle standardu PNA od Ondřej Kolín - Moc hezkej je ten příklad, kdy GET request...

Moc hezkej je ten příklad, kdy GET request mění nějakou hodnotu. Celkem proti HTTP, ne?

No to je ;) Ale zase je to nejjednodušší způsob, jak poslat nějakou jednoduchou hodnotu skrz odkaz, než složitě přes formulář.

Když pominu, že zapisovat hodnoty GETem by se vůbec nemělo, tak vidím hlavní problém s tom, že by prošlo to přihlášení: admin:admin@... - to je asi ten největší problém.
Pochopitelně, že tohle je jen ilustrační ukázka a skutečný škodlivý kód by byl sofistikovanější, ale i tak mi přijde divné, že by měl prohlížeč řešit zranitelnosti na straně serveru.

Tak admin:admin@... je standardizovaný, i když už nedoporučovaný. Jde o klasickou HTTP autentizaci.
Ale je pravda, že router by toto dnes neměl připustit.

„Celkem proti“ ani ne, standard je v tom dost měkký:

In particular, the convention has been established that the GET and
HEAD methods SHOULD NOT have the significance of taking an action
other than retrieval. These methods ought to be considered "safe".

Dávají si tam dost záležet na tom aby bylo jasné, že to není povinné. Takže bych spíš řekl, že to jde proti dobrým mravům.

Zakaz GET neni reseni - cizi stranka vam muze poslat i POST.