Я бачив статті та публікації по всій цій темі (включаючи ТАК), і переважаючий коментар полягає в тому, що політика одного і того ж походження перешкоджає надсилати форму POST для всіх доменів. Єдине місце , де я бачив хто - то припустити , що ті ж походження політик не застосовується для формування повідомлення, тут .
Я хотів би отримати відповідь з більш "офіційного" чи формального джерела. Наприклад, чи знає хто-небудь RFC, який стосується того, як однотипне походження робить чи не впливає на форму POST?
уточнення : я не запитую, чи можна створити GET або POST і надіслати на будь-який домен. Я прошу:
- якщо Chrome, IE або Firefox дозволять вмісту з домену "Y" надсилати POST домену "X"
- якщо сервер, що приймає POST, насправді взагалі побачить будь-які значення форми. Я говорю це тому, що більшість онлайн-дискусій записують тестери, які говорять про те, що сервер отримав повідомлення, але значення форми були порожні / викреслені.
- Який офіційний документ (тобто RFC) пояснює, яка очікувана поведінка (незалежно від того, що веб-переглядачі реалізували в даний час).
До речі, якщо однакове походження не впливає на форму POST, то це робить дещо більш очевидним, чому потрібні жетони проти підробки. Я кажу "дещо", тому що здається занадто легко повірити, що зловмисник може просто видати HTTP GET для отримання форми, що містить маркер проти підробки, а потім зробити незаконний POST, який містить цей же маркер. Коментарі?