Bu konuyla ilgili tüm yazılar ve mesajlar (dahil) gördüm, ve egemen yorumu aynı kaynak politikası alanlarındaki form POST engeller. Birini gördüğüm tek yer aynı kaynak politikası mesaj formu, is here için geçerli olmadığını göstermektedir.

Bir daha sizden bir cevap "" ya resmi kaynak. resmi istiyorum Örneğin, herkes aynı kökenli veya form POST etkilemez nasıl adresleri RFC biliyor mu?

açıklama: GET veya POST inşa ve herhangi bir etki alanı için gönderilen bir soran ben değilim. Soruyorum:

1. eğer Chrome, IE veya Firefox etki alanından içerik izin eğer '' etki alanı için bir mesaj göndermek için'' . X Y
2. eğer sunucu POST alma aslında göreceksiniz eğer herhangi bir değer hiç form. Online tartışma çoğunluğu test sunucusu sonrası alınan diyerek kayıtlar için söylüyorum, ama form değerleri / çıkarılmış tüm boştu.
3. Resmi belge (örneğin RFC) beklenen davranış nedir tarayıcıları şu anda uygulanan ne olursa olsun) açıklar.

Aynı kaynak şeklinde Mesajlar etkilemez - o zaman biraz daha-sahte anti belirteçleri neden gerekli olduğunu belli ediyor Bu arada, eğer. Diyorum ki "biraz" çünkü görünüşe göre çok kolay buna inanmak saldırganın sadece sorunu bir HTTP GET almak için bir form içeren anti-sahtecilik token, ve sonra bir yasak sonrasi içeren aynı şekilde. Yorum?

Aynı kökenli ilke tarayıcı tarafı programlama dilleri için geçerlidir. Eğer siz de denemek sonrası için farklı bir sunucu daha origin sunucusu kullanarak JavaScript, daha sonra aynı kökenli ilke geliyor oyuna ama eğer yazı doğrudan form yani eylem puan için farklı bir sunucu gibi:

<form action="http://someotherserver.com">

ve javascript form gönderme ilgisi yok, daha sonra aynı kökenli ilke geçerli değildir.

Daha fazla bilgi için wikipedia bkz