Firefox 90、Fetch Metadata Request Headers をサポート
(blog.mozilla.org)-
Web アプリケーションが、CSRF、XS-Leaks、Spectre などのクロスサイト攻撃から自身を保護可能
-
Sec-Fetch-*で始まる Fetch Metadata ヘッダーをデフォルトで送信し、サーバー側でリクエストを区別可能
→ Sec-Fetch-Site : same-origin, same-site, cross-site, none
→ Sec-Fetch-Mode : cors, navigate, no-cors, same-origin, websocket
→ Sec-Fetch-User : ?0 または ?1
→ Sec-Fetch-Dest : audio, audioworklet, document, embed, empty, font, image, manifest, object, paintworklet, report, script, serviceworker, sharedworker, style, track, video, worker, xslt
-
CSRF : Cross-Site Request Forgery
-
XS-Leaks : Cross-Site Leaks
-
Spectre : Speculative Cross-site Execution Side Channel
1件のコメント
Fetch Metadata Request Headers は W3C Working Draft 段階です
https://www.w3.org/TR/fetch-metadata/
Protect your resources from web attacks with Fetch Metadata https://web.dev/fetch-metadata/
Chrome および Chromium ベースのブラウザーは、バージョン 76 からデスクトップ/Android/WebView まですべて対応しています。
IE(6〜11)と Safari(Mac/iOS)を除けば、ほとんどで適用可能です。