Я уже видел статьи и посты по всей теме (включая SO) по этой теме, и преобладающим комментарием является то, что политика одного и того же происхождения предотвращает формирование формы POST в разных доменах. Единственное место, где я видел кого-то, предполагает, что политика одного и того же происхождения не распространяется на посты,это здесь.

Я хотел бы получить ответ от более "официального" или официальный источник. Например, кто-нибудь знает RFC, который рассматривает, как тот же источник влияет или не влияет на форму POST?

clarificationЯ не спрашиваю, может ли GET или POST быть создан и отправлен в любой домен. Я спрашиваю:

if Chrome, IE, or Firefox will allow content from domain 'Y' to send a POST to domain 'X' if the server receiving the POST will actually see any form values at all. I say this because the majority of online discussion records testers saying the server received the post, but the form values were all empty / stripped out. What official document (i.e. RFC) explains what the expected behavior is (regardless of what the browsers have currently implemented).

Между прочим, если одно и то же происхождение не влияет на POST формы - это делает несколько более очевидным, почему необходимы токены против подделки. Я говорю «несколько» потому что кажется слишком легким полагать, что злоумышленник может просто выполнить HTTP-запрос GET, чтобы получить форму, содержащую маркер защиты от подделки, и затем создать незаконный POST, который содержит этот же токен. Комментарии?