Ho visto articoli e post dappertutto (incluso SO) su questo argomento e il commento prevalente è che la politica della stessa origine impedisce un modulo POST tra domini. L'unico posto in cui ho visto qualcuno suggerire che la politica sulla stessa origine non si applica ai post dei moduli, è qui .
Mi piacerebbe avere una risposta da una fonte più "ufficiale" o formale. Ad esempio, qualcuno conosce la RFC che affronta il modo in cui la stessa origine fa o non influisce su un modulo POST?
chiarimento : non sto chiedendo se un GET o POST può essere costruito e inviato a qualsiasi dominio. Sto chiedendo:
- se Chrome, IE o Firefox consentiranno ai contenuti del dominio "Y" di inviare un POST al dominio "X"
- se il server che riceve il POST vedrà effettivamente qualsiasi valore di modulo. Lo dico perché la maggior parte dei tester di record di discussione online afferma che il server ha ricevuto il post, ma i valori del modulo erano tutti vuoti / eliminati.
- Quale documento ufficiale (es. RFC) spiega quale sia il comportamento previsto (indipendentemente da ciò che i browser hanno attualmente implementato).
Per inciso, se la stessa origine non influenza i POST della forma, allora rende un po 'più ovvio il motivo per cui sono necessari token anti-contraffazione. Dico "un po '" perché sembra troppo facile credere che un utente malintenzionato possa semplicemente emettere un HTTP GET per recuperare un modulo contenente il token anti-contraffazione e quindi creare un POST illecito che contenga lo stesso token. Commenti?