Já vi artigos e postagens em todo o lugar (incluindo SO) sobre esse tópico, e o comentário predominante é que a política de mesma origem impede um formulário de POST entre domínios. O único lugar em que vi alguém sugeriu que a política de mesma origem não se aplica a mensagens de formulário,é aqui.

Eu gostaria de ter uma resposta de uma fonte mais "oficial" ou formal. Por exemplo, alguém sabe o RFC que aborda como a mesma origem afeta ou não um formulário de POST?

esclarecimento: Eu não estou perguntando se um GET ou POST pode ser construído e enviado para qualquer domínio. Estou perguntando:

se o Chrome, o IE ou o Firefox permitirão que o conteúdo do domínio 'Y' envie um POST ao domínio 'X'se o servidor que receber o POST realmente vir algum valor de formulário. Digo isso porque a maioria dos participantes de testes de registros on-line diz que o servidor recebeu o post, mas os valores do formulário estavam todos vazios.Qual documento oficial (ou seja, RFC) explica qual é o comportamento esperado (independentemente do que os navegadores implementaram atualmente).

A propósito, se a mesma origem não afeta os POSTs de formulário - então torna um pouco mais óbvio o motivo pelo qual os tokens anti-falsificação são necessários. Digo "um pouco" porque parece muito fácil acreditar que um invasor poderia simplesmente emitir um HTTP GET para recuperar um formulário contendo o token anti-falsificação e, em seguida, fazer um POST ilícito que contenha o mesmo token. Comentários?