이 주제에 대한 기사와 게시물을 모두 보았습니다 (SO 포함). 주석 의견은 동일한 출처 정책으로 인해 도메인 전체에서 POST 형식을 막을 수 있다는 것입니다. 내가 본 사람이 같은 출처 정책이 게시물 게시에 적용되지 않는다고 제안하는 유일한 장소 는 여기 입니다.
좀 더 "공식적인"또는 공식적인 출처로부터 답변을 받고 싶습니다. 예를 들어, 동일한 출처가 양식 POST에 미치는 영향을 다루는 RFC를 아는 사람이 있습니까?
설명 : GET 또는 POST를 구성하여 어떤 도메인으로 보낼 수 있는지 묻지 않습니다. 나는 물어보고있어:
- Chrome, IE 또는 Firefox에서 도메인 'Y'의 콘텐츠가 도메인 'X'에 POST를 보내도록 허용하는 경우
- POST를 수신하는 서버가 실제로 모든 양식 값을 볼 수 있습니다. 나는 대부분의 온라인 토론 기록 테스터가 서버가 게시물을 받았다고 말했지만 양식 값이 모두 비어 있거나 제거 되었기 때문에 이것을 말합니다.
- 어떤 공식 문서 (예 : RFC)에는 브라우저가 현재 구현 한 내용에 관계없이 예상되는 동작이 무엇인지 설명되어 있습니다.
또한 동일한 출처가 POST 형식에 영향을 미치지 않으면 위조 방지 토큰이 필요한 이유가 다소 분명해집니다. 공격자가 단순히 위조 방지 토큰이 포함 된 양식을 검색하기 위해 HTTP GET을 발행 한 다음 동일한 토큰이 포함 된 불법 POST를 만들 수 있다고 생각하기 때문에 "약간"이라고 말합니다. 코멘트?