Sec-Fetch-Mode и почему он не везде?

Question

[koxac]

Если запустить веб сервер встроенный в php командой php -S .... и в devtool выполнить команду
fetch(location.href)
то на вкладке network -> request headers видим
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-origin
И такой результат получим и на этом сайте и на гитхабе и на многих других.

А если зайти на 4pda и выполнить
fetch(location.href)
То Sec-Fetch-Mode и Sec-Fetch-Site вообще отсутствуют.

Заметил это случайно когда увидел что у меня request headers отличается на localhost'e и на vps'ке с запущенным nginx

Для чего нужны Sec-Fetch-Mode и Sec-Fetch-Site ?
И почему не на всех сайтах эти заголовки присутствуют?
И как их добавить?

Answer 1

[GrayHorse]

Они отсутствуют при обращении на http сайты.

Добавляются автоматически браузером (можно и самому с помощью расширения) при обращении на https сайты.

В Chromuim'е c 76 версии.

Реализована поддержка группы HTTP-заголовков Fetch Metadata (Sec-Fetch-Dest, Sec-Fetch-Mode, Sec-Fetch-Site и Sec-Fetch-User), позволяющих отправить дополнительные метаданные о характере запроса (межсайтовый запрос, запрос через тег img и т.п.) для принятия на сервере мер для защиты от некоторых типов атак (например, маловероятно, что ссылка на обработчик для перевода денег будет задана через тег img, поэтому такие запросы можно блокировать без передачи приложению);

– Источник

Answer 2

[DevMan]

Для чего нужны Sec-Fetch-Mode и Sec-Fetch-Site ?

для управления доступом.

И почему не на всех сайтах эти заголовки присутствуют?

потому что не везде они нужны. да и использовать их не заставляют.

И как их добавить?

https://www.w3.org/TR/fetch-metadata/#sec-fetch-mo...

Comments

[Hfnas]

DevMan, куда их добавить?(нужны HTTP_SEC_FETCH_SITE=same_origin, HTTP_SEC_FETCH_MODE=cors, HTTP_SEC_FETCH_DEST=empty)
в nginx?
(у меня связка nginx+apache)
ошибка в браузере
"ERR_NETWORK" axios