Я видел статьи и сообщения по всему (включая SO) по этой теме, и преобладающий комментарий заключается в том, что политика одного и того же происхождения предотвращает получение формы POST по доменам. Единственное место, где я видел кого-то, говорит о том, что политика одинакового происхождения не применяется к сообщениям формы, здесь.
Я бы хотел получить ответ от более официального или официального источника. Например, знает ли кто-либо RFC, который рассматривает, как одинаковое происхождение влияет или не влияет на форму POST?
пояснение. Я не спрашиваю, может ли GET или POST быть сконструирован и отправлен в любой домен. Я спрашиваю:
- если Chrome, IE или Firefox разрешат контент из домена "Y" отправлять POST в домен "X"
- если сервер, получающий POST, фактически увидит любые значения формы. Я говорю это, потому что большинство онлайн-дискуссий записывают тестеры, говорящие, что сервер получил сообщение, но значения формы были пустыми/лишенными.
- Какой официальный документ (т.е. RFC) объясняет, что такое ожидаемое поведение (независимо от того, что в настоящее время реализованы в браузерах).
Кстати, если одноименное происхождение не влияет на формы POST, то это делает несколько более очевидным, почему нужны токены анти-подделки. Я говорю "несколько", потому что кажется слишком легко поверить, что злоумышленник может просто выдать HTTP GET для извлечения формы, содержащей токен анти-подделки, а затем сделать незаконный POST, содержащий этот же токен. Комментарии?