मैंने इस विषय पर सभी (एसओ सहित) लेख और पोस्ट देखे हैं, और प्रचलित टिप्पणी यह है कि समान-मूल नीति पूरे डोमेन में एक POST को रोकती है। एकमात्र जगह जिसे मैंने देखा है कि कोई सुझाव देता है कि समान-मूल नीति फॉर्म पदों पर लागू नहीं होती है, यहां है ।
मैं एक अधिक "आधिकारिक" या औपचारिक स्रोत से उत्तर लेना चाहता हूं। उदाहरण के लिए, क्या कोई RFC को जानता है जो पता लगाता है कि समान-मूल POST को कैसे प्रभावित करता है या नहीं करता है?
स्पष्टीकरण : मैं यह नहीं पूछ रहा हूं कि क्या कोई GET या POST का निर्माण और किसी भी डोमेन को भेजा जा सकता है। मैं पूछ रहा हूँ:
- यदि Chrome, IE, या फ़ायरफ़ॉक्स डोमेन 'Y' से सामग्री को POST भेजने के लिए डोमेन 'X' की अनुमति देगा
- अगर POST प्राप्त करने वाला सर्वर वास्तव में किसी भी प्रकार के मूल्यों को देखेगा। मैं ऐसा इसलिए कहता हूं क्योंकि अधिकांश ऑनलाइन चर्चा रिकॉर्ड परीक्षक कहते हैं कि सर्वर को पद प्राप्त हुआ था, लेकिन फॉर्म मूल्य सभी खाली / छीन लिए गए थे।
- क्या आधिकारिक दस्तावेज (यानी RFC) बताता है कि अपेक्षित व्यवहार क्या है (इस बात पर ध्यान दिए बिना कि ब्राउज़र ने वर्तमान में क्या लागू किया है)।
संयोग से, यदि समान-उत्पत्ति, POST के रूप को प्रभावित नहीं करती है - तो यह कुछ हद तक स्पष्ट कर देता है कि विरोधी जालसाजी टोकन क्यों आवश्यक हैं। मैं "कुछ हद तक" कहता हूं क्योंकि यह विश्वास करना बहुत आसान है कि एक हमलावर केवल एक एंटी-जीईटी जारी कर सकता है ताकि विरोधी जालसाजी टोकन वाले फॉर्म को पुनः प्राप्त कर सके, और फिर एक अवैध POST बना सके जिसमें वही टोकन हो। टिप्पणियाँ?