Firefox 90 รองรับ Fetch Metadata Request Headers
(blog.mozilla.org)-
เว็บแอปพลิเคชันสามารถป้องกันตัวเองจากการโจมตีข้ามไซต์ เช่น CSRF, XS-Leaks และ Spectre ได้
-
ส่ง Fetch Metadata header ที่ขึ้นต้นด้วย Sec-Fetch-* โดยค่าเริ่มต้น เพื่อให้ฝั่งเซิร์ฟเวอร์แยกแยะคำขอต่าง ๆ ได้
→ Sec-Fetch-Site : same-origin, same-site, cross-site, none
→ Sec-Fetch-Mode : cors, navigate, no-cors, same-origin, websocket
→ Sec-Fetch-User : ?0 หรือ ?1
→ Sec-Fetch-Dest : audio, audioworklet, document, embed, empty, font, image, manifest, object, paintworklet, report, script, serviceworker, sharedworker, style, track, video, worker, xslt
-
CSRF : Cross-Site Request Forgery
-
XS-Leaks : Cross-Site Leaks
-
Spectre : Speculative Cross-site Execution Side Channel
1 ความคิดเห็น
Fetch Metadata Request Headers อยู่ในขั้น Working Draft ของ W3C
https://www.w3.org/TR/fetch-metadata/
Protect your resources from web attacks with Fetch Metadata https://web.dev/fetch-metadata/
Chrome และเบราว์เซอร์ที่พัฒนาบน Chromium รองรับทั้งหมดตั้งแต่เวอร์ชัน 76 ทั้งบนเดสก์ท็อป/Android/WebView
ถ้าไม่นับ IE (6~11) และ Safari (mac/iOS) ก็สามารถใช้งานได้กับส่วนใหญ่