Ich habe überall Artikel und Posts (einschließlich SO) zu diesem Thema gesehen, und der vorherrschende Kommentar ist, dass Richtlinien mit demselben Ursprung ein POST von Formularen über Domänen hinweg verhindern. Der einzige Ort, an dem ich jemanden gesehen habe, der vorschlägt, dass dieselbe Herkunftsrichtlinie nicht für das Bilden von Posts gilt.ist hier.

Ich hätte gerne eine Antwort von einer "offiziellen" oder formellen Quelle. Kennt zum Beispiel jemand den RFC, der behandelt, wie derselbe Ursprung einen Formular-POST beeinflusst oder nicht?

Klärung: Ich frage nicht, ob ein GET oder POST erstellt und an eine Domain gesendet werden kann. Ich frage:

Wenn Chrome, IE oder Firefox zulassen, dass Inhalte von Domain 'Y' einen POST an Domain 'X' sendenwenn der Server, der den POST empfängt, überhaupt irgendwelche Formularwerte sieht. Ich sage das, weil die Mehrheit der Online-Diskussionstester festhält, dass der Server den Beitrag erhalten hat, aber die Formularwerte alle leer / entfernt waren.In welchem ​​offiziellen Dokument (d. H. RFC) wird das erwartete Verhalten erläutert (unabhängig davon, was die Browser derzeit implementiert haben).

Übrigens: Wenn derselbe Ursprung keine Auswirkungen auf Form-POSTs hat, wird etwas offensichtlicher, warum Token gegen Fälschungen erforderlich sind. Ich sage "etwas", weil es zu leicht zu glauben scheint, dass ein Angreifer einfach ein HTTP-GET ausgeben könnte, um ein Formular abzurufen, das das Anti-Fälschungs-Token enthält, und dann einen illegalen POST durchzuführen, der dasselbe Token enthält. Bemerkungen?