12
Tôi đang khám phá các ý tưởng về kiểm tra HTTP xứ như bảo vệ CSRF cho Drupal tại https://www.drupal.org/node/1803712Tại sao Firefox không phải lúc nào cũng gửi tiêu đề HTTP Origin cho các yêu cầu POST?
Bây giờ tôi đã được thử nghiệm như thế nào header xứ đến với một yêu cầu POST, nhưng Firefox không gửi header xứ trên biểu mẫu đăng nhập người dùng nộp hồ sơ. Chromium và Chrome hoạt động tốt, chúng gửi tiêu đề Gốc.
Phiên bản Firefox là 36.0.1. Tôi cũng đã thử nghiệm với cài đặt Firefox sạch vì tôi nghĩ có thể một số plugin trình duyệt của tôi sẽ chặn tiêu đề Gốc, nhưng không may mắn - không có tiêu đề Gốc ở đó.
Có trang tài liệu mô tả khi Firefox gửi tiêu đề Gốc và khi nào không?
Vâng, đó là một câu hỏi hay và tôi ngạc nhiên vì không có bất kỳ câu trả lời nào vì nó về cơ bản áp dụng cho tất cả các nhà phát triển API web. Nó làm cho bảo vệ CSRF khá phức tạp hơn nó nên. –