Firefox 90 unterstützt Fetch-Metadata-Request-Header

(blog.mozilla.org)

7 Punkte von xguru 2021-07-13 | 1 Kommentare | Auf WhatsApp teilen

Webanwendungen können sich damit vor Cross-Site-Angriffen wie CSRF, XS-Leaks und Spectre schützen
Fetch-Metadata-Header mit dem Präfix Sec-Fetch-* werden standardmäßig gesendet, damit der Server Anfragen unterscheiden kann

→ Sec-Fetch-Site : same-origin, same-site, cross-site, none

→ Sec-Fetch-Mode : cors, navigate, no-cors, same-origin, websocket

→ Sec-Fetch-User : ?0 oder ?1

→ Sec-Fetch-Dest : audio, audioworklet, document, embed, empty, font, image, manifest, object, paintworklet, report, script, serviceworker, sharedworker, style, track, video, worker, xslt

CSRF : Cross-Site Request Forgery
XS-Leaks : Cross-Site Leaks
Spectre : Speculative Cross-site Execution Side Channel

1 Kommentare

xguru 2021-07-13

Fetch Metadata Request Headers befinden sich im Stadium eines W3C Working Draft

https://www.w3.org/TR/fetch-metadata/
Protect your resources from web attacks with Fetch Metadata https://web.dev/fetch-metadata/

Chrome und Chromium-basierte Browser unterstützen dies ab Version 76 vollständig auf Desktop/Android/WebView.

https://www.chromestatus.com/feature/5155867204780032

Abgesehen von IE (6–11) und Safari (macOS/iOS) ist es in den meisten Fällen einsetzbar.

https://caniuse.com/?search=sec-fetch

Firefox 90 unterstützt Fetch-Metadata-Request-Header

Verwandte Beiträge

1 Kommentare