POSTing w formie Cross Domain Form

W tym temacie widziałem artykuły i posty na całym świecie (w tym SO), a dominującym komentarzem jest to, że polityka tego samego pochodzenia uniemożliwia formularz POST w domenach. Jedyne miejsce, które widziałem, ktoś sugeruje, że zasady dotyczące tego samego pochodzenia nie mają zastosowania do tworzenia postów,jest tutaj.

Chciałbym uzyskać odpowiedź z bardziej „oficjalnego” lub formalnego źródła. Na przykład, czy ktoś zna specyfikację RFC, która dotyczy sposobu, w jaki to samo pochodzenie ma lub nie wpływa na formularz POST?

wyjaśnienie: Nie pytam, czy GET lub POST mogą zostać skonstruowane i wysłane do dowolnej domeny. Pytam się:

jeśli Chrome, IE lub Firefox pozwolą treści z domeny „Y” wysłać POST do domeny „X”jeśli serwer odbierający test POST w ogóle zobaczy dowolne wartości formularza. Mówię to, ponieważ większość internetowych dyskusji testujących mówi, że serwer otrzymał wiadomość, ale wszystkie wartości formularza były puste / usunięte.Jaki oficjalny dokument (tj. RFC) wyjaśnia, jakie jest oczekiwane zachowanie (niezależnie od tego, jakie przeglądarki obecnie implementują).

Nawiasem mówiąc, jeśli to samo pochodzenie nie wpływa na formularze POST - to czyni to bardziej oczywistym, dlaczego żetony przeciwdziałające fałszerstwom są konieczne. Mówię „nieco”, ponieważ wydaje się zbyt łatwe, aby uwierzyć, że atakujący może po prostu wydać GET HTTP, aby pobrać formularz zawierający token przeciw fałszerstwu, a następnie wykonać niedozwolony POST, który zawiera ten sam token. Komentarze?

questionAnswers(3)

yourAnswerToTheQuestion