Firefox 90, compatibilidad con Fetch Metadata Request Headers

(blog.mozilla.org)

7 puntos por xguru 2021-07-13 | 1 comentarios | Compartir por WhatsApp

Las aplicaciones web pueden protegerse de ataques cross-site como CSRF, XS-Leaks y Spectre
Envía por defecto encabezados Fetch Metadata que comienzan con Sec-Fetch-* para que del lado del servidor se puedan distinguir las solicitudes

→ Sec-Fetch-Site : same-origin, same-site, cross-site, none

→ Sec-Fetch-Mode : cors, navigate, no-cors, same-origin, websocket

→ Sec-Fetch-User : ?0 o ?1

→ Sec-Fetch-Dest : audio, audioworklet, document, embed, empty, font, image, manifest, object, paintworklet, report, script, serviceworker, sharedworker, style, track, video, worker, xslt

CSRF : Cross-Site Request Forgery
XS-Leaks : Cross-Site Leaks
Spectre : canal lateral de ejecución especulativa cross-site

1 comentarios

xguru 2021-07-13

Fetch Metadata Request Headers está en la etapa de Working Draft del W3C

https://www.w3.org/TR/fetch-metadata/
Protege tus recursos de ataques web con Fetch Metadata https://web.dev/fetch-metadata/

Chrome y los navegadores basados en Chromium lo soportan desde la versión 76 en desktop/Android/WebView.

https://www.chromestatus.com/feature/5155867204780032

Excepto IE (6~11) y Safari (macOS/iOS), se puede aplicar en la mayoría de los casos.

https://caniuse.com/?search=sec-fetch

Firefox 90, compatibilidad con Fetch Metadata Request Headers

Lecturas relacionadas

1 comentarios