J'ai vu des articles et des messages un peu partout (y compris sur SO) sur ce sujet, et le commentaire dominant est que la politique de same-origin empêche un formulaire POST à travers les domaines. Le seul endroit où j'ai vu quelqu'un suggérer que la politique de l'origine commune ne s'applique pas aux formulaires POST, est ici .
J'aimerais avoir une réponse d'une source plus "officielle" ou formelle. Par exemple, quelqu'un connaît-il la RFC qui traite de la façon dont le same-origin affecte ou non un formulaire POST ?
clarification : Je ne demande pas si un GET ou un POST peut être construit et envoyé à n'importe quel domaine. Je demande :
- si Chrome, IE ou Firefox autorise le contenu du domaine "Y" à envoyer un POST au domaine "X".
- si le serveur qui reçoit le POST verra réellement les valeurs du formulaire. Je dis cela parce que la majorité des discussions en ligne font état de testeurs disant que le serveur a reçu le message, mais que les valeurs du formulaire étaient toutes vides / supprimées.
- Quel document officiel (i.e. RFC) explique quel est le comportement attendu (indépendamment de ce que les navigateurs ont actuellement mis en œuvre).
Par ailleurs, si le principe du same-origin n'affecte pas les formulaires POST, la raison pour laquelle les jetons anti-falsification sont nécessaires devient un peu plus évidente. Je dis "un peu" parce qu'il semble trop facile de croire qu'un attaquant pourrait simplement lancer un HTTP GET pour récupérer un formulaire contenant le jeton anti-falsification, puis effectuer un POST illicite contenant ce même jeton. Des commentaires ?