背景与价值浏览器在请求中附带 `Sec-Fetch-*` 头,表达来源与上下文;服务端据此识别与拦截潜在跨站风险。后端治理(Node/Express 示例)app.use((req, res, next) => { const site = String(req.headers['sec-fetch-site'] || 'same-origin'); const mode = String(req.headers['sec-fetch-mode'] || 'navigate'); const dest = String(req.headers['sec-fetch-dest'] || 'document'); if (site === 'cross-site' && mode !== 'navigate') return res.status(403).end(); next(); }); 静态资源与嵌入防护对脚本/样式/图片等资源,根据 `dest` 与 `site` 做白名单控制;不允许跨站脚本直接请求敏感资源。指标验证(Chrome 128/Edge 130)拦截覆盖率:跨站非导航请求拦截 ≥ 99%。误拦率:≤ 0.5%(合理白名单与例外后)。回退策略不支持或代理剥离:结合 `Origin`/`Referer` 与 CSRF Token 双重校验。测试清单跨站脚本/iframe 发起的资源与接口请求被拦截;同站正常。
投稿
微信公众账号
微信扫一扫加关注
评论 返回
顶部
发表评论 取消回复