12
mi zastanowić się nad możliwością kontroli Origin HTTP jak ochrona CSRF dla Drupal na https://www.drupal.org/node/1803712Dlaczego Firefox nie zawsze wysyła nagłówek HTTP Origin dla żądań POST?
teraz testował jak nagłówek Origin przybywa z żądania POST, ale Firefox nie wysyła nagłówek Origin w formularzu logowania użytkownika uległość. Chrom i Chrome działają poprawnie, wysyłają nagłówek Origin.
Wersja przeglądarki Firefox to 36.0.1. Testowałem również z czystą instalacją Firefoksa, ponieważ pomyślałem, że może niektóre z moich wtyczek do przeglądarek tłumią nagłówek Origin, ale bez powodzenia - nie ma tam nagłówka Origin.
Czy istnieje strona dokumentacji opisująca, kiedy Firefox wysyła nagłówek Origin, a kiedy nie?
Tak, to jest dobre pytanie, i jestem zaskoczony, że nie ma żadnych odpowiedzi, ponieważ w zasadzie dotyczy wszystkich programistów web API. Sprawia, że ochrona CSRF jest bardziej skomplikowana, niż powinna być. –