ฉันเคยเห็นบทความและโพสต์ทั่ว (รวมถึง SO) ในหัวข้อนี้และความเห็นที่แพร่หลายคือนโยบายต้นกำเนิดเดียวกันป้องกันฟอร์ม POST ข้ามโดเมน คนเพียงสถานที่ที่ผมเคยเห็นชี้ให้เห็นว่านโยบายเดียวกันแหล่งกำเนิดไม่ได้นำไปใช้กับรูปแบบการโพสต์อยู่ที่นี่
ฉันต้องการคำตอบจาก "ทางการ" หรือแหล่งข้อมูลทางการ ตัวอย่างเช่นไม่มีใครรู้ RFC ที่ระบุว่ามีต้นกำเนิดเดียวกันหรือไม่มีผลต่อฟอร์ม POST หรือไม่
คำชี้แจง : ฉันไม่ได้ถามว่าสามารถสร้าง GET หรือ POST และส่งไปยังโดเมนใด ๆ ได้หรือไม่ ฉันกำลังถาม:
- ถ้า Chrome, IE หรือ Firefox จะอนุญาตเนื้อหาจากโดเมน 'Y' เพื่อส่ง POST ไปยังโดเมน 'X'
- ถ้าเซิร์ฟเวอร์ที่รับ POST จะเห็นค่าฟอร์มใด ๆ เลย ฉันพูดแบบนี้เพราะส่วนใหญ่ของการสนทนาออนไลน์บันทึกผู้ทดสอบบอกว่าเซิร์ฟเวอร์ได้รับการโพสต์ แต่ค่าแบบฟอร์มทั้งหมดว่าง / ถอดออก
- เอกสารอย่างเป็นทางการใด ๆ (เช่น RFC) อธิบายว่าพฤติกรรมที่คาดหมายคืออะไร (ไม่ว่าเบราว์เซอร์ใดบ้างที่นำไปใช้งานในปัจจุบัน)
อนึ่งหากแหล่งกำเนิดเดียวกันไม่ส่งผลกระทบต่อแบบฟอร์มโพสต์ - แล้วมันทำให้ค่อนข้างชัดเจนว่าทำไมโทเค็นต่อต้านการปลอมแปลงจึงมีความจำเป็น ฉันพูดว่า "ค่อนข้าง" เพราะดูเหมือนว่าง่ายเกินไปที่จะเชื่อว่าผู้โจมตีสามารถออก HTTP GET เพื่อดึงฟอร์มที่มีโทเค็นต่อต้านการปลอมแปลงจากนั้นสร้าง POST ที่ไม่ถูกต้องซึ่งมีโทเค็นเดียวกันนั้น ความคิดเห็น?