Кросс-доменная форма POSTing

Я видел статьи и сообщения по всей этой теме (включая SO) по этой теме, и преобладающий комментарий состоит в том, что политика одного и того же происхождения предотвращает POST-форму в разных доменах. Единственное место, где я видел, что кто-то предполагает, что политика одного и того же происхождения не распространяется на посты, здесь .

Я хотел бы получить ответ из более «официального» или официального источника. Например, кто-нибудь знает RFC, который рассматривает, как тот же источник влияет или не влияет на форму POST?

пояснение : я не спрашиваю, можно ли создать GET или POST и отправлено на любой домен. Я спрашиваю:

1. , если Chrome, IE или Firefox разрешат контенту из домена 'Y' отправлять POST в домен 'X'
2. , если сервер, получающий POST, будет на самом деле увидеть любые значения формы на всех. Я говорю это потому, что большинство онлайн-обсуждений записывают тестеров, которые сообщают, что сервер получил сообщение, но все значения в форме были пустыми / удалены.
3. Какой официальный документ (то есть RFC) объясняет, каково ожидаемое поведение (независимо от того, что браузеры в настоящее время реализовали).

Между прочим, если одно и то же происхождение не влияет на POST формы - тогда это делает несколько более очевидным, почему необходимы токены против подделки. Я говорю «несколько», потому что кажется, что слишком легко поверить, что злоумышленник может просто выполнить HTTP GET, чтобы получить форму, содержащую токен противодействия фальсификации, и затем создать незаконный POST, который содержит тот же токен. Комментарии?