Eu já vi artigos e postagens por todo o lado (incluindo SO) sobre esse tópico, e o comentário predominante é que a política de mesma origem impede um formulário POST entre domínios. O único lugar em que vi alguém sugerir que a política de mesma origem não se aplica a postagens de formulário é aqui .
Eu gostaria de receber uma resposta de uma fonte mais "oficial" ou formal. Por exemplo, alguém conhece o RFC que aborda como a mesma origem afeta ou não um formulário POST?
esclarecimento : Não estou perguntando se um GET ou POST pode ser construído e enviado para qualquer domínio. Estou perguntando:
- se o Chrome, IE ou Firefox permitirem que o conteúdo do domínio 'Y' envie um POST para o domínio 'X'
- se o servidor que recebe o POST realmente visualizar algum valor de formulário. Digo isso porque a maioria das discussões online registra os testadores dizendo que o servidor recebeu a postagem, mas os valores do formulário estavam todos vazios / removidos.
- O documento oficial (ou seja, RFC) explica qual é o comportamento esperado (independentemente do que os navegadores implementaram atualmente).
Aliás, se a mesma origem não afeta os POSTs de formulário - torna um pouco mais óbvio o motivo pelo qual os tokens antifalsificação são necessários. Digo "um pouco" porque parece muito fácil acreditar que um invasor pode simplesmente emitir um HTTP GET para recuperar um formulário que contém o token anti-falsificação e, em seguida, criar um POST ilícito que contém o mesmo token. Comentários?