Я видел статьи и сообщения по всей этой теме (включая SO) по этой теме, и преобладающий комментарий состоит в том, что политика одного и того же происхождения предотвращает POST-форму в разных доменах. Единственное место, где я видел, что кто-то предполагает, что политика одного и того же происхождения не распространяется на посты, здесь .
Я хотел бы получить ответ из более «официального» или официального источника. Например, кто-нибудь знает RFC, который рассматривает, как тот же источник влияет или не влияет на форму POST?
пояснение : я не спрашиваю, можно ли создать GET или POST и отправлено на любой домен. Я спрашиваю:
Между прочим, если одно и то же происхождение не влияет на POST формы - тогда это делает несколько более очевидным, почему необходимы токены против подделки. Я говорю «несколько», потому что кажется, что слишком легко поверить, что злоумышленник может просто выполнить HTTP GET, чтобы получить форму, содержащую токен противодействия фальсификации, и затем создать незаконный POST, который содержит тот же токен. Комментарии?