相关疑难解决方法(0)

我已经看过关于这个主题的文章和帖子(包括SO),而流行的评论是同源策略阻止跨域的表单POST.我见过的唯一一个人建议同源政策不适用于表格帖子,就在这里.

我想从更"官方"或正式的消息来源得到答案.例如,有没有人知道解决同源来源如何影响表格POST的RFC？

澄清:我不是在询问是否可以构建GET或POST并将其发送到任何域.我在问:

1. 如果Chrome,IE或Firefox允许来自域"Y"的内容向域"X"发送POST
2. 如果接收POST的服务器实际上会看到任何表单值.我这样说是因为大多数在线讨论记录测试人员说服务器收到了帖子,但表单值都是空的/剥离的.
3. 什么官方文档(即RFC)解释了预期的行为(无论浏览器当前实现了什么).

顺便提一下,如果同源不影响表单POST,那么它就会更清楚地说明为什么需要使用防伪令牌.我说"有些"因为似乎很容易相信攻击者可以简单地发出HTTP GET来检索包含防伪令牌的表单,然后进行包含相同令牌的非法POST.评论？