He visto artículos y publicaciones por todas partes (incluido SO) sobre este tema, y el comentario predominante es que la política del mismo origen impide que un formulario POST entre dominios. El único lugar donde he visto a alguien sugerir que la política del mismo origen no se aplica a las publicaciones de formularios es aquí .
Me gustaría recibir una respuesta de una fuente más "oficial" o formal. Por ejemplo, ¿alguien sabe el RFC que aborda cómo el mismo origen afecta o no a un formulario POST?
aclaración : no estoy preguntando si se puede construir y enviar un GET o POST a algún dominio. Estoy preguntando:
- si Chrome, IE o Firefox permitirán que el contenido del dominio 'Y' envíe una POST al dominio 'X'
- si el servidor que recibe la POST realmente verá algún valor de formulario. Digo esto porque la mayoría de los analistas de registros de discusión en línea dicen que el servidor recibió la publicación, pero los valores del formulario estaban vacíos / despojados.
- Qué documento oficial (es decir, RFC) explica cuál es el comportamiento esperado (independientemente de lo que los navegadores hayan implementado actualmente).
Por cierto, si el mismo origen no afecta a los POST de forma, entonces hace que sea algo más obvio por qué son necesarios los tokens antifalsificación. Digo "algo" porque parece demasiado fácil creer que un atacante podría simplemente emitir un HTTP GET para recuperar un formulario que contiene el token antifalsificación, y luego hacer un POST ilícito que contenga ese mismo token. Comentarios?