12
我探索HTTP產地檢查爲Drupal的CSRF保護的主意https://www.drupal.org/node/1803712爲什麼Firefox並不總是爲POST請求發送HTTP Origin標頭?
現在我測試的Origin標如何到達與POST請求,但Firefox不會發送起源頭中的用戶登錄表單上提交。鉻和Chrome工作正常,他們發送Origin標頭。
Firefox版本是36.0.1。我還測試了一個乾淨的Firefox安裝,因爲我想我的瀏覽器插件可能會抑制Origin頭文件,但沒有運氣 - 也沒有Origin頭文件。
是否有一個文檔頁面描述了Firefox何時發送Origin標題以及什麼時候沒有?
是的,這是一個很好的問題,我很驚訝沒有任何答案,因爲它基本上適用於所有的Web API開發人員。它確實使CSRF保護比應該更復雜。 – 2015-07-21 08:34:32