Я видел повсюду статьи и сообщения (включая SO) по этой теме, и преобладающие комментарии заключаются в том, что политика одного происхождения предотвращает POST формы между доменами. Единственное место, где я видел, как кто-то предполагал, что политика одного и того же происхождения не применяется к сообщениям форм, здесь.
Хотелось бы получить ответ из более «официального» или официального источника. Например, знает ли кто-нибудь RFC, в котором рассматривается, как одно и то же происхождение влияет или не влияет на форму POST?
пояснение: я не спрашиваю, можно ли создать GET или POST и отправить его в какой-либо домен. Я спрашиваю:
- если Chrome, IE или Firefox разрешают контенту из домена Y отправлять POST в домен X
- если сервер, получающий POST, вообще увидит какие-либо значения формы. Я говорю это, потому что большинство тестировщиков онлайн-обсуждений говорят, что сервер получил сообщение, но все значения формы были пустыми / вычеркнутыми.
- В каком официальном документе (например, RFC) объясняется ожидаемое поведение (независимо от того, что в настоящее время реализовано в браузерах).
Между прочим, если одинаковое происхождение не влияет на POST-запросы формы, тогда становится более очевидным, зачем нужны токены защиты от подделки. Я говорю «в некоторой степени», потому что слишком легко поверить, что злоумышленник может просто выполнить HTTP GET, чтобы получить форму, содержащую токен защиты от подделки, а затем выполнить незаконный POST, содержащий тот же токен. Комментарии?