He visto artículos y publicaciones en todo (incluido el SO) sobre este tema, y ​​el comentario prevaleciente es que la política del mismo origen impide que se publique un formulario POST en los dominios. El único lugar donde he visto a alguien sugerir que la política del mismo origen no se aplica a las publicaciones de formularios,es aquí.

Me gustaría tener una respuesta de una fuente más "oficial" o formal. Por ejemplo, ¿alguien sabe el RFC que aborda cómo el mismo origen afecta o no al formulario POST?

aclaración: No estoy preguntando si un GET o POST se puede construir y enviar a cualquier dominio. Estoy preguntando:

si Chrome, IE o Firefox permitirán que el contenido del dominio 'Y' envíe un POST al dominio 'X'Si el servidor que recibe el POST realmente verá algún valor de formulario. Digo esto porque la mayoría de los analizadores de discusiones en línea dijeron que el servidor recibió la publicación, pero los valores del formulario estaban todos vacíos / eliminados.El documento oficial (es decir, RFC) explica cuál es el comportamiento esperado (independientemente de lo que los navegadores hayan implementado actualmente).

Incidentalmente, si el mismo origen no afecta a los POST de forma, entonces es un poco más obvio de por qué son necesarias las fichas anti-falsificación. Digo "un poco" porque parece demasiado fácil creer que un atacante podría simplemente emitir un GET de HTTP para recuperar un formulario que contiene el token anti-falsificación y luego realizar un POST ilícito que contiene ese mismo token. ¿Comentarios?