Bu konuyla ilgili her yerde (SO dahil) makaleler ve yayınlar gördüm ve geçerli yorum, aynı köken politikasının etki alanları arasında bir form POST'u engellemesidir. Birinin aynı köken politikasının form gönderileri için geçerli olmadığını önerdiğini gördüğüm tek yer burada .
Daha "resmi" veya resmi bir kaynaktan cevap almak istiyorum. Örneğin, RFC'yi aynı kökenli bir formun POST'u nasıl etkilediğini veya etkilemediğini bilen var mı?
açıklama : Bir GET veya POST oluşturulabilir ve herhangi bir alana gönderilip gönderilemeyeceğini sormuyorum. Soruyorum:
- Chrome, IE veya Firefox, 'Y' alanından gelen içeriğin 'X' alanına bir POST göndermesine izin verirse
- POST alan sunucu aslında herhangi bir form değeri görürse. Bunu söylüyorum çünkü çevrimiçi tartışmaların çoğunluğu, sunucunun postayı aldığını söyleyen test kullanıcılarını kaydeder, ancak form değerlerinin tümü boş / soyulmuştur.
- Hangi resmi belge (yani RFC) beklenen davranışın ne olduğunu açıklar (tarayıcıların şu anda ne uyguladığına bakılmaksızın).
Bu arada, eğer aynı kökenli POST'ları etkilemezse - o zaman sahtecilik önleme jetonlarının neden gerekli olduğunu biraz daha açık hale getirir. "Biraz" diyorum çünkü bir saldırganın sahtecilik önleme jetonunu içeren bir formu almak için bir HTTP GET yayınlayabileceğine ve aynı jetonu içeren yasadışı bir POST yapabileceğine inanmak çok kolay görünüyor. Yorumlar?