Firefox 90 hỗ trợ Fetch Metadata Request Headers

(blog.mozilla.org)

7 điểm bởi xguru 2021-07-13 | 1 bình luận | Chia sẻ qua WhatsApp

Các ứng dụng web có thể tự bảo vệ trước các cuộc tấn công xuyên trang như CSRF, XS-Leaks, Spectre
Gửi mặc định các header Fetch Metadata bắt đầu bằng Sec-Fetch-* để phía máy chủ có thể phân biệt các request

→ Sec-Fetch-Site : same-origin, same-site, cross-site, none

→ Sec-Fetch-Mode : cors, navigate, no-cors, same-origin, websocket

→ Sec-Fetch-User : ?0 hoặc ?1

→ Sec-Fetch-Dest : audio, audioworklet, document, embed, empty, font, image, manifest, object, paintworklet, report, script, serviceworker, sharedworker, style, track, video, worker, xslt

CSRF : Cross-Site Request Forgery
XS-Leaks : Cross-Site Leaks
Spectre : Kênh bên của thực thi suy đoán xuyên trang

1 bình luận

xguru 2021-07-13

Fetch Metadata Request Headers hiện đang ở giai đoạn W3C Working Draft

https://www.w3.org/TR/fetch-metadata/
Bảo vệ tài nguyên của bạn khỏi các cuộc tấn công web với Fetch Metadata https://web.dev/fetch-metadata/

Chrome và các trình duyệt dựa trên Chromium đều hỗ trợ từ phiên bản 76, trên desktop/Android/WebView.

https://www.chromestatus.com/feature/5155867204780032

Ngoài IE (6~11) và Safari (macOS/iOS), phần lớn đều có thể áp dụng được.

https://caniuse.com/?search=sec-fetch

Firefox 90 hỗ trợ Fetch Metadata Request Headers

Bài viết liên quan

1 bình luận