Firefox 90 prend en charge les en-têtes de requête Fetch Metadata
(blog.mozilla.org)-
Les applications web peuvent se protéger contre des attaques cross-site telles que CSRF, XS-Leaks et Spectre
-
Les en-têtes Fetch Metadata commençant par
Sec-Fetch-*sont désormais envoyés par défaut, ce qui permet au serveur de distinguer les requêtes
→ Sec-Fetch-Site : same-origin, same-site, cross-site, none
→ Sec-Fetch-Mode : cors, navigate, no-cors, same-origin, websocket
→ Sec-Fetch-User : ?0 ou ?1
→ Sec-Fetch-Dest : audio, audioworklet, document, embed, empty, font, image, manifest, object, paintworklet, report, script, serviceworker, sharedworker, style, track, video, worker, xslt
-
CSRF : Cross-Site Request Forgery
-
XS-Leaks : Cross-Site Leaks
-
Spectre : canal auxiliaire d’exécution spéculative cross-site
1 commentaires
Les en-têtes de requête Fetch Metadata sont au stade de Working Draft du W3C
https://www.w3.org/TR/fetch-metadata/
Protégez vos ressources contre les attaques web avec Fetch Metadata https://web.dev/fetch-metadata/
Chrome et les navigateurs basés sur Chromium les prennent tous en charge à partir de la version 76, sur desktop/Android/WebView.
À l’exception d’IE (6~11) et de Safari (Mac/iOS), cela peut être appliqué dans la plupart des cas.