1. 首页
  2. 文章资讯
  3. 技术教程
  4. 网络安全

Fetch Metadata 请求头实践:防跨站请求伪造与滥用

45 阅读 0 评论

概述

Fetch Metadata 在每次请求中附带来源与目的信息(Sec-Fetch-*),后端可基于此拒绝异常来源或不期望的目的类型(如跨站导航触发的敏感 POST)。

防护策略(已验证)

  • 拒绝跨站写入:当 Sec-Fetch-Sitecross-siteSec-Fetch-Modenavigate/cors 时拒绝敏感写操作(来源)
  • 仅允许同源 API:限制 Sec-Fetch-Sitesame-origin 的写请求;为公开资源保留只读策略
  • 白名单:为 SSO 或可信中间层添加来源白名单与额外校验

点赞(0) 打赏
Popover API 实战:锚定弹出层的无障碍与性能
Popover API 实战:锚定弹出层的无障碍与性能
Popover API 原生弹层:无框架交互与可访问性
Popover API 原生弹层:无框架交互与可访问性
Payment Request API 实战:支付流程与兼容回退
Payment Request API 实战:支付流程与兼容回退
OpenTelemetry 全栈可观测性落地指南(2025)
OpenTelemetry 全栈可观测性落地指南(2025)

评论列表 共有 0 条评论

暂无评论
立即
投稿

微信公众账号

微信扫一扫加关注

 发表
评论 返回
顶部