@koxac

Sec-Fetch-Mode и почему он не везде?

Если запустить веб сервер встроенный в php командой php -S .... и в devtool выполнить команду
fetch(location.href)
то на вкладке network -> request headers видим
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-origin
И такой результат получим и на этом сайте и на гитхабе и на многих других.

А если зайти на 4pda и выполнить
fetch(location.href)
То Sec-Fetch-Mode и Sec-Fetch-Site вообще отсутствуют.

Заметил это случайно когда увидел что у меня request headers отличается на localhost'e и на vps'ке с запущенным nginx

Для чего нужны Sec-Fetch-Mode и Sec-Fetch-Site ?
И почему не на всех сайтах эти заголовки присутствуют?
И как их добавить?
  • Вопрос задан
  • 1429 просмотров
Решения вопроса 2
DevMan
@DevMan Куратор тега Веб-разработка
Для чего нужны Sec-Fetch-Mode и Sec-Fetch-Site ?
для управления доступом.

И почему не на всех сайтах эти заголовки присутствуют?
потому что не везде они нужны. да и использовать их не заставляют.

И как их добавить?
https://www.w3.org/TR/fetch-metadata/#sec-fetch-mo...
Ответ написан
@GrayHorse
Они отсутствуют при обращении на http сайты.

Добавляются автоматически браузером (можно и самому с помощью расширения) при обращении на https сайты.

В Chromuim'е c 76 версии.
Реализована поддержка группы HTTP-заголовков Fetch Metadata (Sec-Fetch-Dest, Sec-Fetch-Mode, Sec-Fetch-Site и Sec-Fetch-User), позволяющих отправить дополнительные метаданные о характере запроса (межсайтовый запрос, запрос через тег img и т.п.) для принятия на сервере мер для защиты от некоторых типов атак (например, маловероятно, что ссылка на обработчик для перевода денег будет задана через тег img, поэтому такие запросы можно блокировать без передачи приложению);
Источник
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы