CSRF. Могут ли поддельные сообщения POST содержать произвольные данные?

Поддельные запросы POST могут быть созданы ненадежными веб-сайтами путем создания формы и публикации ее на целевом сайте. Однако необработанное содержимое этого POST будет закодировано браузером в следующем формате:

param1=value1&param2=value2

Могут ли ненадежные веб-сайтысоздавать поддельные POST-сообщения, которые содержат произвольноенеобработанное содержимое. -- например, строковый JSON?

{param1: value1, param2: value2}

Иными словами: Могут ли веб-сайты заставить браузер отправлять произвольныйконтент на сторонние домены?